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RESUMEN EVJECUTIVO 


Introduccion 


La Informacion es un recurso clave para todas las empresas y desde el momento en que la informacion se crea hasta que es 
destruida, la tecnologia juega un papel importante. La tecnologia de la informacion esta avanzando cada vez mas y se ha 
generalizado en las empresas y en entornos sociales, publicos y de negocios. 


COBIT 5 provee de un marco de trabajo integral que ayuda a las empresas a alcanzar sus objetivos para el gobierno y 
la gestion de las TI corporativas. Dicho de una manera sencilla, ayuda a las empresas a crear el valor 6ptimo desde la 
tecnologia de la informacion (TI) manteniendo el equilibrio entre la generacion de beneficios y la optimizacion de los 
niveles de riesgo y el uso de recursos. COBIT 5 permite que las TI se gobiernen y gestionen de un modo holistico para 
toda la empresa, abarcando al negocio completo de principio a fin y a las areas funcionales de responsabilidad de TI, 
considerando los intereses relacionados con TI de los grupos de interés internos y externos. 


COBIT 5 para Seguridad de la Informacion, destacado en la figura 1, basado en el marco de COBIT 5, se enfoca en la 


seguridad de la informacion y proporciona una guia mas detallada y practica para los profesionales de seguridad de la 
informacion y otras partes interesadas a todos los niveles de la empresa (ver figura 2). 


Figura 1—Familia de Productos COBIT 5 


COBIT®5 


Guias de Catalizadores de COBIT 5 


COBIT® 5: (010)5) 1 Kenoy Otras Guias de 
Procesos Catalizadores Informacién Catalizadora Catalizadores 


Guias Profesionales COBIT 5 








COBIT® 5 e a i 
42 _ i COBIT® 5 COBIT® 5 Otras Guias 
Implementacion de COBIT® 5 an ae para Aseguramiento para Riesgos Profesionales , 


Entorno Colaborativo Online de COBIT 5 








Motivos 


En COBIT 5, los procesos APO13 Gestionar la seguridad, DSS04 Gestionar la continuidad y DSSO05 Gestionar los 
servicios de seguridad proporcionan una guia basica acerca de como definir, operar y monitorizar un sistema para la 
gestion general de seguridad. De cualquier forma, en esta publicacion se asume que la seguridad de la informacién se 
encuentra presente a lo largo de toda la empresa, con aspectos de seguridad de la informacion dentro de cada actividad y 
proceso realizado. Por lo tanto, COBIT 5 para Seguridad de la Informacion proporciona la nueva guia de ISACA para el 
gobierno y la gestion corporativa de la seguridad de la informacion. 


Los motivos mas importantes para el desarrollo de COBIT 5 para Seguridad de la Informacion incluyen: 
¢ La necesidad de describir la seguridad de la informacion en el contexto de una empresa incluyendo: 
— Las responsabilidades funcionales de principio a fin de seguridad de la informacion para el negocio y TI. 
— Todos los aspectos que llevan a un gobierno y gestion efectivos de la seguridad de la informacion, tales como 
estructuras organizativas, politicas y cultura. 
— La relacion y enlace de la seguridad de la informacion con los objetivos de la empresa. 
¢ Una necesidad creciente de la empresa de: 
— Mantener el riesgo de informacion a un nivel aceptable y proteger la informacion contra divulgaciones no autorizadas, 
modificaciones involuntarias o no autorizadas y posibles intrusiones. 
— Asegurar que los servicios y sistemas se encuentran disponibles continuamente para los grupos de interés internos y 
externos, con el objetivo de satisfacer a los usuarios en relacién al compromiso y los servicios proporcionados por TI. 
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RESUMEN EJECUTIVO 


—Cumplir con el numero creciente de leyes y regulaciones relevantes, asi como con requisitos contractuales y politicas 
internas para la seguridad y proteccion de la informacion y sistemas y proporcionar transparencia sobe el nivel de 
cumplimiento. 

— Alcanzar todo lo anterior a la vez que se contiene el coste de servicios de TI y la proteccion de la tecnologia. 

¢ La necesidad de conectarse y, cuando sea relevante, alinearse con otros marcos y estandares importantes en el 
mercado. El mapeo no exhaustivo (apéndice H) ayudara a los grupos de interés a entender la relacion entre 

los diferentes marcos, buenas practicas y estandares, ademas de cOmo pueden ser usados de forma conjunta y 

complementarse bajo el paraguas de COBIT 5 para Seguridad de la Informacion. 

¢ La necesidad de unir las investigaciones, marcos y guias principales de ISACA con un foco principal en el Modelo 
de Negocio para Seguridad de la Informacion (BMIS) y COBIT, y considerando también Val IT, Risk IT, el Marco 
de Aseguramiento TI (ITAF), la publicacion titulada Board Briefing on IT Governance y el recurso Llevando el 

Gobierno hacia Adelante (TGF). 


Ademas de estos motivos principales para el desarrollo de COBIT 5 para Seguridad de la Informacion esta el 

hecho de que la seguridad es esencial en las operaciones diarias de las empresas. Las brechas en la seguridad de la 
informacion pueden llevar a un impacto sustancial en la empresa debido a, por ejemplo, dafios financieros u operativos. 
Adicionalmente, la empresa puede estar expuesta a impactos externos como riesgos de reputacion o legales, que pueden 
poner en peligro las relaciones con clientes y empleados, e incluso la supervivencia de la empresa. 


Los siguientes ejemplos ilustran la necesidad de un mayor y mejor acercamiento sistematico a la seguridad de la informacion: 

¢ Una infraestructura critica nacional depende de los sistemas de informacion, y una intrusion exitosa podria provocar 
un impacto significativo en la economia y en la seguridad humana. 

¢ Informacion financiera no publica que podria ser usada para obtener beneficios econdmicos. 

¢ Divulgacion de informacion confidencial que puede causar problemas a las empresas, asi como dafios de reputacion o 
poner en peligro relaciones de negocio. 

¢ Intrusion en redes comerciales, por ejemplo, para obtener datos de tarjetas de crédito o de otros medios de pago, que 
puede llevar a un dafio de reputacion y financiero sustancial debido a multas, asi como un mayor escrutinio por parte 
de organismos reguladores. 

¢ El espionaje industrial puede permitir que se copien secretos comerciales e incrementar la competencia entre 
empresas manufactureras. 

¢ Filtraciones en la inteligencia nacional o militar que pueden resultar en un dafo a las relaciones politicas. 

¢ Una filtracion de datos personales puede resultar en pérdidas financieras y en esfuerzos innecesarios para reconstruir 
la reputacion financiera del individuo. 

¢ Costes significativos no planificados (tanto financieros como operacionales) relacionados con contener, investigar y 
remediar brechas de seguridad, que pueden impactar a cualquier empresa que haya sufrido una brecha. 


Beneficios 


Utilizar COBIT 5 para Seguridad de la Informacion proporciona a la empresa una serie de capacidades relacionadas con 
la seguridad de la informacion que pueden resultar en beneficios como: 

¢ Menor complejidad y mayor coste-beneficio debido a una mejorada y mas facil integracion de estandares buenas 
practicas y/o guias especificas del sector de seguridad de la informacion. 

Mayor satisfaccion de usuario con la estructura y resultados de seguridad de la informacion. 

Mejor integracion de la seguridad de la informacion en la empresa. 

* Toma de decisiones de riesgo con conocimiento y conciencia del riesgo. 

¢ Mejor prevencion, deteccion y recuperacion. 

¢ Reduccion (del impacto) de los incidentes de seguridad de la informacion. 

¢ Soporte mejorado a la innovacion y la competitividad. 

¢ Mejor gestion de los costes relacionados con la funcion de seguridad de la informacion. 

¢ Mayor conocimiento de la seguridad de la informacion. 





Estos beneficios son obtenidos al hacer uso de las capacidades de COBIT 5 para Seguridad de la Informacion mostrados 
en la figura 3. 
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COBIT®@ para Securipap dE LA INFORMACION 


Figura 3— Capacidades COBIT 5 para Seguridad de la Informacion 


Capacidad COBIT 5 para 
Seguridad de la Informacion Descripcion 


Visién actualizada de gobierno COBIT 5 para Seguridad de la Informacion proporciona una visién mas actualizada para un gobierno y gestion de 
seguridad de la informacion a través del alineamiento con COBIT 5, la Organizacién Internacional de Normalizacion 
(ISO)/Comisi6n Electrotécnica Internacional (IEC) 38500 y otras iniciativas para gobierno de TI. Durante el desarrollo 
de COBIT 5 para Seguridad de la Informacion, t se han analizado las guias y estandares mas importantes existentes. 
COBIT 5 para Seguridad de la Informacién se alinea con otros marcos, estandares y modelos del mercado, como la 
serie ISO/IEC 27000, el estandar de Buenas Practicas para Seguridad de Ia Informacion (ISF), y con BMIS. 


Adicionalmente, se han analizado otros documentos ofrecidos para gobierno de seguridad de la informacidn de 
ISACA durante el desarrollo de COBIT 5 para Seguridad de la Informacion, como son el Gobierno de Seguridad de 
la Informacién: Guia para Gestores de Seguridad de Ia Informacion y Gobierno de Seguridad de la Informacién: Guia 
para Comités de Direccion y Ejecutivos, 2° edicién. . 


Diferenciacién clara entre COBIT 5 permite aclarar los roles de gobierno y de gesti6n, proporcionando una diferenciacién entre ellos, con un 
gobierno y gestion modelo de proceso que ha sido revisado y que refleja esta diferenciacién, mostrando como se relacionan entre si. 


Visién extremo a extremo COBIT 5 para Seguridad de la Informacion es un modelo de proceso que integra tanto responsabilidades funcionales 
del negocio como de TI. Proporciona una clara distincién entre el gobierno de la seguridad de la informacion y las 
practicas de gestion de la seguridad de la informacién, marcando responsabilidades en los diferentes niveles de la 
empresa, que abarcan todos los pasos del proceso de principio a fin. 


Guia holistica El marco de COBIT 5 para Seguridad de Ia Informacion proporciona una guia completa y holistica para la seguridad 
de la informaci6n. Holistica significa que se presta atencién a todos los procesos y catalizadores, incluyendo 
informacion, estructuras, cultura y politicas, asi como su interdependencia. 





COBIT 5 para Seguridad de la Informacion esta basado en el marco de COBIT 5, del que se ha filtrado y complementado 
la informacion relevante a seguridad con guias mas detalladas y especificas, asegurando una consistencia con la 
arquitectura del producto de COBIT 5. COBIT 5 comienza con las expectativas e inquietudes de los grupos de interés 
relacionados con las TI de la empresa. Todas las guias pueden ser relacionadas con asuntos de los grupos de interés y, por 
lo tanto, la seguridad de la informacion ayuda a soportar la misiOn del negocio y a alcanzar sus metas. 


Publico Objetivo 


COBIT 5 para Seguridad de la Informacion esta orientado para todos los grupos de interés de seguridad de la informacion. 
La audiencia mas obvia son los Directores de Seguridad de la Informacion (CISO), Gerentes de Seguridad de la 
Informacion (ISM) y otros profesionales de seguridad de la informacion. No obstante, la seguridad de la informacion es 
responsabilidad de todos los grupos de interés dentro de la empresa, incluyendo a todos los empleados y otros grupos de 
interés, incluyendo terceras partes. Por lo tanto, ésta publicacion puede ser de interés para todas las partes de la empresa. 


Convenciones Utilizadas y Resumen 


COBIT Spara Seguridad de la Informacion se refiere a varios catalizadores como roles, puestos, comités, procesos y 
politicas. Las caracteristicas unicas de cada empresa pueden ocasionar que estos catalizadores sean utilizados de muchas 
formas distintas para proporcionar seguridad de la informacion de una forma 6ptima. COBIT 5 para Seguridad de la 
Informacion utiliza guias y ejemplos que proporcionan una vision completa que explica cada concepto de COBIT 5 desde 
una perspectiva de seguridad de la informacion. 


Para guiar al lector a través de la extensa coleccion de informacion, COBIT 5 para Seguridad de la Informacion festa 
formado por tres secciones y ocho apéndices. 


Cada seccion contiene varios capitulos. Dentro de cada capitulo, en caso de ser necesario, se han utilizado algunas marcas 

que permiten guiar al lector a través de la explicacion. Adicionalmente, se han utilizado cajas de color |azully gris para lo 

siguiente: 

¢ La|caja azuljse utiliza para marcar los puntos de atencion relevantes a seguridad de la informacion. 

¢ La caja gris refleja material que se utiliza para enlazar la informacion con algun otro tema relevante. Las secciones 
también hacen referencia a los apéndices para obtener mayor informacion. 
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A continuacion se describe cada seccion y su interrelacion con otras: 

¢ Seccion I—Profundiza en el tema de seguridad de la informacion y describe brevemente como la arquitectura de 
COBIT 5 puede ser adaptada a necesidades especificas de seguridad de la informacion. Esta seccion proporciona una 
base conceptual que es utilizada en el resto de la publicacion. 

¢ Seccion II—Profundiza en el uso de los catalizadores de COBIT 5 para implementar seguridad de la 
informacion. El gobierno de las TI corporativas es sistematico y se apoya en un conjunto de catalizadores. En 
esta seccion se introduce el concepto de catalizadores especificos para seguridad, los cuales se explican utilizando 
ejemplos practicos. En los apéndices se proporciona una guia detallada sobre estos catalizadores. 

¢ Seccién I1]—Profundiza en como adaptar COBIT 5 para seguridad de la informacion a un entorno empresarial. 
Esta seccion contiene guias de como se pueden implementar las iniciativas de seguridad de la informacion y 
proporciona un mapeo con otros estandares y marcos dentro del area de seguridad de la informacion y COBIT 5 para 
Seguridad de la Informacion. 


Los apéndices contienen guias detalladas basadas en los catalizadores introducidos en la seccion II: 

¢ Apéndice A—Guia detallada acerca de los principios, politicas y marcos catalizadores 

¢ Apéndice B—Guia detallada acerca de los procesos catalizadores 

¢ Apéndice C—Guia detallada acerca de las estructuras organizativas catalizadoras 

« Apéndice D—Guia detallada acerca la cultura, ética y comportamientos catalizadores 

¢ Apéndice E—Guia detallada acerca de la informacion catalizadora 

¢ Apéndice F—Guia detallada acerca de los servicios, infraestructura, y aplicaciones catalizadoras 

« Apéndice G—Guia detallada acerca de las personas, habilidades y competencias catalizadoras 

« Apéndice H—Mapeos detallados de COBIT 5 para Seguridad de la Informacion con otros estandares de seguridad de 
la informacion 


Las secciones de Acrénimos y Glosario spermiten clarificar las abreviaciones y términos utilizados unicamente en esta 
publicacion. Para términos normalizados, por favor referirse al Glosario de Términos de ISACA que se puede encontrar en 
www.isaca.org/Glossary. 
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SECCION 1, CAPfTULO 1 
DEFINICION DE SEGURIDAD DE LA INFORMACION 


SECCION I. SEGURIDAD DE LA INFORMACION 


CAPITULO 1 
DEFINICION DE SEGURIDAD DE LA INFORMACION 


ISACA define a la seguridad de la informacion como algo que: 


Asegura que dentro de la empresa, la informacion esta protegida contra su divulgacion a usuarios no 
autorizados (confidencialidad), modificacion inadecuada (integridad) y su falta de acceso cuando se la necesita 
(disponibilidad). 


¢ La confidencialidad significa preservar las restricciones autorizadas sobre el acceso o divulgacion, incluyendo 
los medios para proteger la privacidad y la informacion propietaria. 

* La Integridad significa proteger contra la destrucci6n 0 modificacién inadecuada de la informacion e incluye 
asegurar el no repudio y autenticidad de la informacion. 

* La disponibilidad significa asegurar que se puede acceder y usar la informacion de manera confiable y en el 
momento adecuado. 


Aunque existen muchas otras definiciones del término, esta definicion proporciona los fundamentos de seguridad de la 
informacion ya que cubre los conceptos de confidencialidad, integridad y disponibilidad (CIA). Es importante destacar que 
mientras el concepto CIA es globalmente aceptado, hay otros usos mas amplios del término “integridad” en un contexto 
mas amplio del negocio. COBIT 5 cubre este término dentro del catalizador informacién como objetivos de completitud 

y precision de la informacién. COBIT 5 para Seguridad de la Informacion se limita a la perspectiva de seguridad de este 
término y se apoya en esta definicién para describir cémo la seguridad de la informacion puede aplicarse en la vida real, 
considerando los principios de COBIT 5. 


La seguridad de la informacion es un catalizador de negocio que esta intrinsecamente unido a la confianza de las partes 
interesadas, ya sea tratando los riesgos de negocio 0 creando valor para la empresa como una ventaja competitiva. En un 
momento en que la importancia de la informacion y las tecnologias relacionadas con ella estan creciendo en cada aspecto 
del mundo de los negocios y la vida publica, la necesidad de mitigar el riesgo sobre la informacion, lo que incluye proteger 
la informacion y los activos de TI relacionados con ella de amenazas que cambian continuamente, se esta intensificando 
constantemente. El incremento en la regulacion en el entorno de negocios se suma a la concienciacion de los Consejos de 
Administracion sobre la criticidad de la seguridad de la informacion para la informacion y los activos de TI relacionados. 
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SECCION I, CapfruLo 2 
PrinciPios DE COBIT 5 


CAPITULO 2 
PrINcIPIOS DE COBIT 5 


2.1 Vision General 


COBIT 5 para Seguridad de la Informacion se basa en los mismos principios que el marco de COBIT 5 (figura 4). 


Figura 4—Principios de COBIT 5 


1. Satisfacer las 
Necesidades 
de las Partes 
Interesadas 


5. Separar 2. Cubrir la 
el Gobierno Empresa Extremo 
de la Gestion a Extremo 


3. Aplicar 
un Marco de 
_ Referencia 
Unico Integrado 


4. Hacer posible 
un Enfoque 
Holistico 





El texto que sigue describe brevemente cada principio y su relevancia para la seguridad de la informacion. 


2.2 Principio 1. Satisfacer las Necesidades de las Partes Interesadas 


Las empresas existen para crear valor a sus partes interesadas —incluyendo las partes interesadas en la seguridad de 
la informacién— al mantener un equilibrio entre la consecucion de beneficios, la optimizacion del riesgo y del uso de 
recursos. La optimizacion del riesgo es lo que se considera mas importante para la seguridad de la informacion. 


Como cada empresa tiene objetivos diferentes, debe utilizar la cascada de metas para personalizar COBIT 5 a su propio 
contexto. En la cascada de metas, ilustrada en la figura 5, las necesidades de las partes interesadas, que estan influenciadas 
por diferentes motivos, se traducen y concretan en metas operativas de empresa que deben satisfacerse. Para cumplir con 
estas metas empresariales, se requiere a su vez alcanzar las metas relacionadas con TI, y finalmente traducirse en metas 
para los diferentes catalizadores. 


La seguridad de la informacion es una necesidad importante para las partes interesadas, y esto se traduce en metas 
relacionadas con seguridad de la informacion para la empresa, para TI y finalmente para los catalizadores que los soportan. 


En COBIT 5 para Seguridad de la Informacion,se definen metas especificas de seguridad de la informacion para procesos 
como apoyo a las necesidades de las partes interesadas relacionadas con la seguridad de la informacion. De la misma 
manera, se definen metas especificas para el resto de catalizadores relacionados con la seguridad de la informacion 
(seccion II). 
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Figura 5—Vision General de la Cascada de Metas de COBIT 5 


Motivos de las Partes interesadas 
(Entorno, Evolucion de la Tecnologia, ...) 


Influencia 


Necesidades de las Partes Interesadas 


Realizacion Optimizacion Optimizacién 
de Beneficios de Riesgos de Recursos 


Metas Corporativas 


Metas relacionadas con las TI 


Metas de los Catalizadores 





2.3 Principio 2. Cubrir la Empresa Extremo-a-Extremo 


COBIT 5 integra el gobierno de las TI corporativas con en el gobierno de la empresa al: 

* Cubrir todas las funciones y procesos que forman parte de la empresa. COBIT 5 no se centra solo en “la funcion de 
TI”, sino que trata la informacion y las tecnologias relacionadas con ella como activos que deben ser tratados de la 
misma forma que se hace con cualquier otro activo de la empresa. 

* Considerar que todos los catalizadores relacionados con el gobierno y gestion de las TI abarcan toda la empresa de 

extremo a extremo, es decir, incluyendo a todo y a todos, internos y externos, que sean relevantes para el gobierno y 

gestion de la informacion de la empresa y las TI relacionadas con ella. Aplicando este principio a la seguridad de la 

informacion, COBIT 5 para Seguridad de la Informacion cubre a todas las partes interesadas, funciones y procesos que 
forman parte de la empresa y son relevantes para la seguridad de la informacion. 


2.4 Principio 3. Aplicar un Marco de Referencia Unico Integrado 


Existen muchos estandares y buenas practicas relativos a TI, ofreciendo cada uno ayuda para un subgrupo de actividades 
relacionadas con las TI. COBIT 5 es completo en cuanto a la cobertura de la empresa, y proporciona una base para integrar 
de manera efectiva otros marcos de referencia, estandares y practicas que se utilicen. Como tinico marco de referencia 
integrado, sirve como una fuente consistente e integrada de guia en un lenguaje comin no técnico y agnostico en cuanto 

a la tecnologia. COBIT 5 se alinea con otros estandares y marcos de referencia relevantes, y de esta manera permite a la 
empresa utilizarlo como el marco de referencia general para el gobierno y gestion de las TI de la empresa. 


Mas especificamente, COBIT 5 para Seguridad de la Informacion reine conocimientos previamente distribuidos entre 
los diferentes marcos y modelos de ISACA (COBIT, BMIS, Risk IT, Val IT) con guias de otros importantes estandares 
relacionados con la seguridad de la informacion tales como la serie ISO/IEC 27000, el Estandar de Buenas Practicas para 
Seguridad de la Informacion de ISF y el SP800-53A del U.S. National Institute of Standards and Technology (NIST). 
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2.5 Principio 4. Hacer Posible un Enfoque Holistico 


Un gobierno y gestion de las TI de la empresa efectivo y eficiente requiere de un enfoque holistico que tenga en 

cuenta varios componentes que interacthan. COBIT 5 define un conjunto de catalizadores (enablers) para apoyar la 
implementacion de un sistema de gobierno y gestion global para las TI y la informacion de la empresa. Los catalizadores 
son factores que, individual y colectivamente, influyen en que algo funcione — en este caso, el gobierno y la gestion de las 
TI de la empresa y, relacionado con eso, el gobierno de la seguridad de la informacion. Los catalizadores se dirigen por la 
cascada de metas, es decir, las metas de alto nivel de las TI definen lo que los diferentes catalizadores deberian lograr. 


El marco de COBIT 5 define siete categorias de catalizadores (figura 6). 


Figura 6—Catalizador de COBIT 5: Modelo Sistémico con Interactuaci6n de Catalizadores 


Procesos 7 ; 
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bo al 
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del dia a dia. 
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y utilizada por la empresa. y Aplicaciones Estan relacionadas con las 
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En la seccion II, se tratan y analizan todos los catalizadores interconectados requeridos para una adecuada seguridad de la 
informacion, presentando una estrategia holistica y sistémica hacia la seguridad de la informacion. 


2.6 Principio 5. Separar el Gobierno de la Gestion 
El marco de COBIT 5 establece una clara distincion entre gobierno y gestion. Estas dos disciplinas engloban diferentes 
tipos de actividades, requieren diferentes estructuras organizativas y sirven a diferentes propositos. La vision de COBIT 5 


en esta fundamental distincion entre gobierno y gestion es: 


Gobierno 





El Gobierno asegura que se evaluan las necesidades, condiciones y opciones de las partes interesadas para 
determinar que se alcanzan las metas corporativas equilibradas y acordadas; estableciendo la direccién a 
través de la priorizacion y la toma de decisiones; y midiendo el rendimiento y el cumplimiento respecto a la 
direccién y metas acordadas. 





En la mayoria de las empresas, el gobierno es responsabilidad del consejo de administracion bajo la direccion de su presidente. 


Gestion 





La gestion planifica, construye, ejecuta y controla actividades alineadas con la direcci6n establecida por el 
cuerpo de gobierno para alcanzar las metas empresariales. 











En la mayoria de las empresas, la gestion es responsabilidad de la direccion ejecutiva bajo la direccion del Director 
General Ejecutivo (CEO). 
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En la practica, los diferentes roles del gobierno y gestion de la seguridad de la informacion se hacen visibles mediante 
el modelo de procesos de COBIT 5, que incluye procesos de gestion y procesos gobierno, cada grupo con sus propias 
responsabilidades. Esto se representa en la figura 7 y esta explicado detalladamente en la seccion II. 


Figura 7—Modelo de Referencia de Procesos de COBIT 5 
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SECCION II, CapiruLo 1 
INTRODUCCION 


SECCION IL. USo DE LoS CATALIZADORES DE Cosit 5 
PARA IMPLANTAR LA SEGURIDAD DE LA INFORMACION 
EN LA PRACTICA 


CAP{TULO1 
INTRODUCCION 


Esta seccion describe como los catalizadores de COBIT 5, tal como se introdujo en la secci6n I, pueden aplicarse en 
situaciones practicas y como estos catalizadores pueden usarse para implantar un efectivo y eficiente gobierno y gestion de 
la seguridad de la informacion en la empresa. 


1.1 El Modelo Genérico de Catalizadores 
Los catalizadores definidos en COBIT 5 tienen un conjunto de dimensiones comunes (figura 8). Este conjunto: 
* Proporciona una manera simple y estructurada de tratar con los catalizadores 


¢ Permite a una entidad manejar sus complejas interacciones 
¢ Facilita resultados exitosos de los catalizadores 


Figura 8—Catalizadores COBIT 5: Genéricos 
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Las cuatro dimensiones comunes de los catalizadores son: 

¢ Grupos de interés—Cada catalizador tiene grupos de interés (partes que juegan un rol activo y/o tienen un interés 
en el catalizador). Por ejemplo, los procesos tienen diferentes partes que realizan actividades y/o tienen un interés en 
los resultados del proceso; las estructuras organizativas tienen grupos de interés, que son parte de las estructuras, cada 
uno con sus propios roles e intereses, que son parte de las estructuras. Los grupos de interés pueden ser internos 0 
externos a la empresa, cada uno de ellos con sus propias necesidades e intereses, algunas veces contrarios entre si. Las 
necesidades de los grupos de interés se traducen en metas corporativas, que a su vez se traducen en objetivos de TI 
para la empresa.. 

« Metas—Cada catalizador tiene varias metas (resultados esperados) y los catalizadores proporcionan valor por la 
consecucion de dichas metas. Las metas del catalizador son el paso final en la cascada de metas de COBIT 5. 
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Las metas pueden ser divididas a su vez en diferentes categorias: 

— Calidad intrinseca—Medida en que los catalizadores proporcionan resultados precisos, objetivos y de confianza. 

— Calidad contextual—Medida en que los catalizadores y sus resultados son aptos para el propdésito dado el contexto 
en el que operan. Por ejemplo, los resultados deben ser relevantes, completos, actuales, apropiados, consistentes, 
comprensibles y faciles de usar. 





25 


COBI'Te PARA SEGURIDAD DE LA INFORMACION 


— Accesibilidad y seguridad—Medida en la que los catalizadores son accesibles (disponibles cuando y si se necesitan) y 
seguros (el accesos esta restringido a aquellos autorizados y que lo necesitan). 

¢ Ciclo de vida—Cada catalizador tiene un ciclo de vida, desde el comienzo pasando por su vida util / operativa hasta 
su eliminacion. Las fases del ciclo de vida consisten en: 
— Planificar (incluye el desarrollo y seleccion de conceptos) 
— Disefar 
— Construir / adquirir / crear / implementar 
— Utilizar / operar 
— Evaluar / monitorizar 
— Actualizar / eliminar 

¢ Buenas Practicas—Para cada uno de los catalizadores, se pueden definir buenas practicas. Las buenas practicas 
soportan la consecucion de los objetivos del catalizador y proporcionan ejemplos y sugerencias sobre como 
implementar de la mejor manera el catalizador y qué productos o entradas y salidas son necesarias. Una vez que 
estas buenas practicas estan bien afinadas y se integran con éxito dentro de la empresa, pueden llegar a ser, mediante 
el seguimiento de la evolucion de las necesidades de negocio y la supervision adecuada, buenas practicas para la 
empresa. 


1.2 Gestion del Rendimiento de los Catalizadores 


Las empresas esperan resultados positivos de la aplicacion y uso de los catalizadores. Para gestionar el rendimiento de los 
catalizadores, las siguientes cuestiones deberan ser supervisadas y respondidas —basadas en las métricas— de manera 
periddica: 

* ~Se consideran las necesidades de las partes interesadas? 

* Se alcanzan los objetivos de los catalizadores? 

* Se gestiona el ciclo de vida? 

* iSe aplican las buenas practicas? 


Los primeros dos puntos tratan con el resultado actual del catalizador. Las métricas utilizadas para medir el punto hasta el 
que las metas son alcanzadas pueden ser denominadas ‘indicadores de retraso’. 


Los dos ultimos puntos tratan con el funcionamiento actual del catalizador en si mismo y las métricas para ellos pueden 
ser denominadas ‘indicadores de avance’. 


1.3 COBIT 5 para Seguridad de Ia Informacion y los Catalizadores 


COBIT 5 para Seguridad de la informacion proporciona orientacion especifica en relacion a con todos los catalizadores: 

1. Las politicas, principios y marcos de referencia de seguridad de la informacion. 

2. Los procesos, incluyendo detalles y actividades especificos de seguridad de la informacion. 

3. Las estructuras organizativas especificas de seguridad de la informacion. 

4. En términos de cultura, ética y comportamiento, los factores determinantes para el éxito del gobierno y la gestion de 
la seguridad de la informacion. 

5. Los tipos de informaci6n especificos de la seguridad de la informacion para permitir el gobierno y la gestion de la 
seguridad de la informacion en la empresa. 

6. Las capacidades de servicio necesarias para proporcionar seguridad de la informacion y las funciones relacionadas con 
la empresa. 

7. Las personas, habilidades y competencias especificas para seguridad de la informacion. 


Para cada catalizador considerado en este capitulo, se analizaran todos los componentes cuando sean relevantes 0 cuando 
la descripcion genérica necesite ser concretada. Los capitulos de esta seccién siguen el mismo orden que el enumerado 


mas arriba. 


Ademias de una descripcion especifica de seguridad de la informacion de los componentes de los catalizadores, se pueden 
encontrar directrices detalladas sobre estos catalizadores en los apéndices A-G. 
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CATALIZADOR: PRINCIPIOS, POLITICAS Y MARCOS DE REFERENCIA 








CAPITULO 2 
CATALIZADOR: PRINCIPIOS, POLITICAS 
Y Marcos DE REFERENCIA 


Los principios, las politicas y los marcos de referencia se refieren a los mecanismos 
de comunicacién disponibles para trasmitir la direccion e instrucciones de los cuerpos 
de gobierno y de gestion. Este capitulo incluye los siguientes elementos: 

1. Modelo de principios, politicas y marco de referencia 

2. Principios de seguridad de la informacion 

3. Politicas de seguridad de la informacion 

4. Adaptar las politicas al entorno de la empresa 

5. Ciclo de vida de las politicas 














Procesos 
































2.1 Modelo de Principios, Politicas y Marco de Referencia 


Los principios, politicas y marcos de referencia son los medios para traducir el comportamiento deseado de los miembros 
del personal de la empresa con respecto a la seguridad de la informacion en guias formales, y sin embargo practicas, para 
la gestion del dia a dia. Estos principios, politicas y marcos de referencia pueden estructurarse segun las dimensiones que 
se ilustran en el modelo de catalizadores de la figura 9. 


Figura 9—Catalizador de COBIT 5: Principios, Politicas y Marcos de Referencia 
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La figura 9 muestra las diferentes componentes de los principios, politicas y marcos de referencia a alto nivel como estan 
definidos en esta publicacion. Este modelo de proceso es una extension del modelo genérico de catalizador explicado en la 
figura 8. 


El modelo de principios, politicas y marcos de referencia indica que: 

* En el caso de principios, politicas y marcos de referencia, las partes interesadas incluyen el Consejo y el comité 
ejecutivo de direccidn, directores de cumplimiento, gerentes de riesgos, auditores internos y externos, proveedores de 
servicio, clientes y agencias reguladoras. Sus intereses estan divididos: algunas partes interesadas definen y establecen 
las politicas mientras que las otras tienen que alinearse y cumplir con ellas. 

* Los principios, politicas y marcos de referencia son los instrumentos para comunicar las reglas de la empresa en apoyo a 
las metas de gobierno y los valores de la empresa, conforme los define el Consejo y el comité ejecutivo de direcci6n. 
Los principios deberian estar limitados en numero y expresados en un lenguaje sencillo. Las politicas proporcionan una 
directriz mas detallada respecto a como Ilevar a la practica los principios; influyen respecto a como la toma de decisiones 
se alinea con dichos principios. 
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¢ Las politicas tienen un ciclo de vida que debe apoyar la consecucion de las metas definidas. Los marcos de referencia 
son clave porque proporcionan la estructura para definir una directriz coherente, por ejemplo, un marco de referencia 
para politicas proporciona la estructura con la que se pueden crear y mantener un conjunto coherente de éstas y 
proporciona también el ambito en el que movernos y navegar dentro de y entre ellas. 

¢ Las buenas practicas requieren que las politicas formen parte de un marco de politicas general, proporcionando una 
estructura (jerarquica) a la que deberian cefiirse todas las politicas y actuando de enlace con los principios subyacentes. 


El marco de politicas necesita definir: 

¢ Las personas que aprueban las politicas de la empresa 

¢ Las consecuencias de no cumplir con la politica 

¢ Los mecanismos para la gestion de las excepciones 

¢ La forma en la que se comprobara y medira el cumplimiento con la politica 


La responsabilidad de que se realice el desarrollo y mantenimiento del marco de referencia y las politicas relacionadas 

se atribuye al presidente del comité de supervision de (Information Security Steering Committee, ISSC). El marco de 
referencia se puede usar como referente al que ajustar todas las politicas/procedimientos y vincularlas con los principios 
identificados. En la practica, el marco de referencia informa a los profesionales de la seguridad de la informacion y a otros 
usuarios de las politicas de seguridad de la informacion sobre como consultar las guias disponibles, como se representa en 
la figura 10. 


Figura 10—Marco de Politicas 
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Los requisitos y documentacion de seguridad de la informacion detallados deben consultarse en primer lugar cuando 
aparece un problema operativo. En caso de que la guia operativa y/o técnica apropiada no exista, el usuario puede 
consultar los procedimientos de seguridad de la informacion y a continuacion las politicas relacionadas con la seguridad 
de la informacion. Estas politicas cubren un area complementaria de seguridad de la informacion y proporcionan una 
guia tactica. La politica de seguridad de la informacion consiste en directrices de alto nivel de seguridad de la informacion. 
Un usuario puede consultar esta politica general cuando no existe una politica detallada. Finalmente, el usuario necesita 
aplicar los principios generales cuando la politica general de seguridad de la informacion no sea clara sobre el asunto. 


Cuando un usuario ha identificado la necesidad de una guia mas detallada, se deberia comunicar siempre al gestor de la 
seguridad de la informacion. 


Para el desarrollo de guias especificas para la empresa, el ISSC (0 la funcion delegada) puede usar los estandares de seguridad 
de la informacion. En este contexto, el uso de estandares, marcos de referencia y modelos genéricos y obligatorios como 
entrada para el marco de politicas puede diferenciarse. Dependiendo de la situacién, es necesario tener en cuenta estandares, 
marcos de referencia y modelos obligatorios cuando se desarrollan los principios, politicas, procedimientos y requerimientos. 
Por ejemplo, cuando las empresas toman la decision de negocio de certificarse en ISO/IEC 27001, dichas organizaciones 
necesitan cumplir con el estandar ISO/IEC 27001. Las empresas que proporcionan y aceptan tarjetas de crédito necesitan 
cumplir con los Estandares de Seguridad de Datos para la Industria de Pagos con Tarjeta (PCI DSS). En estos casos, los 
estandares relacionados que se usan seran de caracter obligatorio debido a las decisiones de negocio. Como alternativa, el 
ISSC puede querer usar estandares o guias de seguridad de la informacién como buenas practicas genéricas para desarrollar 
eficientemente los principios, politicas, procedimientos y requisitos requeridos. 
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2.2 Principios de Seguridad de la Informacion 


Los principios de seguridad de la informacio6n comunican las reglas de la empresa para dar soporte a los objetivos 

de gobierno y los valores empresariales, segun haya sido definidos por el Consejo de Administracion y la Direccion 
Ejecutiva. Estos principios necesitan: 

* Ser limitados en numero 

¢ Estar expresados en un lenguaje simple y enunciar, tan claro como sea posible, los valores fundamentales de la empresa. 


En 2010, tres organizaciones globales lideres en seguridad de la informacién — ISACA, ISF e International Information 
System Security Certification Consortium [(ISC)’] — unieron fuerzas para desarrollar 12 principios independientes y no 
propietarios que ayudaran a los profesionales de seguridad de la informacion a afiadir valor a sus organizaciones mediante 
un apoyo al negocio con éxito y la promocion de las buenas practicas de seguridad de la informacion. Estos principios 
estan estructurados para dar soporte a tres tareas: 

1. Dar soporte al negocio: 

¢ Centrarse en el negocio para asegurar que la seguridad de la informacion esta integrada en las actividades de 

negocio esenciales. 

¢ Dar calidad y valor a las partes interesadas para asegurar que la seguridad de la informacion aporta valor y cumple 
con los requisitos de negocio. 

¢ Cumplir con los requisitos legales y regulatorios relevantes para asegurar que se cumplen las obligaciones 
estatutarias, se gestionan las expectativas de las partes interesadas y se evitan las penalizaciones civiles o criminales. 

¢ Proporcionar informacion oportuna y exacta sobre el desempefio de la seguridad de la informacion para dar 
soporte a los requisitos del negocio y gestionar el riesgo de la informacion. 

¢ Evaluar las amenazas actuales y futuras para analizar y evaluar las amenazas de seguridad emergentes de 
manera que se puedan tomar acciones oportunas e informadas para mitigar el riesgo. 

¢ Promover la mejora continua en la seguridad de la informacion para reducir costes, mejorar la eficiencia y 
eficacia y promover una cultura de mejora continua de la seguridad de la informacion. 

2. Defender el negocio: 

¢ Adoptar una estrategia basada en el riesgo para asegurar que el riesgo se trata de forma consistente y efectiva. 

¢ Proteger la informacion clasificada para prevenir su revelacion a personas no autorizadas. 

* Concentrarse en las aplicaciones criticas para el negocio para priorizar los escasos recursos de seguridad de la 
informacion mediante la proteccidn de las aplicaciones de negocio en las que un incidente de seguridad tendria un 
mayor impacto en el negocio. 

¢ Desarrollar los sistemas de forma segura para construir sistemas de calidad y rentables en los que las personas 
del negocio puedan confiar. 

3. Promover un comportamiento responsable en seguridad de la informacion: 

¢ Actuar de manera profesional y ética para asegurar que las actividades relacionadas con la seguridad de la 
informacion se desarrollan de manera fiable, responsable y efectiva. 

¢ Fomentar una cultura positiva de seguridad de la informacion para proporcionar una influencia de seguridad 
positiva en el comportamiento de los usuarios finales, reducir la probabilidad de que ocurran incidentes de 
seguridad y limitar su impacto potencial en el negocio. 


Estos principios son genéricos y aplicables a todas las empresas. En el desarrollo de los principios de seguridad de la 
informacion exclusivos de la empresa, esta lista se puede usar como inspiracion. 


En el apéndice A se proporcionan el objetivo y la descripcion para cada uno de estos principios. 


2.3 Politicas de Seguridad de la Informacion 


Las politicas proporcionan una guia mas detallada de como poner en practica los principios y como éstos influiran en la toma 

de decisiones. No todas las politicas relevantes estan escritas y son propiedad de la funcion de seguridad de la informacion. En 

esta publicacion se describen varias politicas y se especifica quién dirige cada politica dentro de la empresa. Las politicas se 

estructuran en tres grupos: 

* La politica de seguridad de la informacion escrita por la funcién de seguridad de la informacion, pero dirigida por la 
Direccion Ejecutiva 

¢ Las politicas especificas de seguridad de la informacion dirigidas por la funcion de seguridad de la informacion 

* Otras politicas que puedan relacionarse con la seguridad de la informacion, pero que estan dirigidas por otras 
funciones de la empresa. En estas politicas, la seguridad de la informacion deberia influir en el desarrollo para 
asegurar el logro de los requisitos de seguridad de la informacion. 
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La siguiente lista de politicas relevantes es ilustrativa y no exhaustiva: 
* Politica de seguridad de la informacion 

* Politica de control de acceso 

* Politica de seguridad de la informacion del personal 

* Politica de seguridad fisica y ambiental 

* Politica de gestidn de incidentes 

* Politica de continuidad de negocio y recuperacion ante desastres 

* Politica de gestion de activos 

* Reglas de comportamiento (uso aceptable) 

* Politica de adquisicion, desarrollo de software y mantenimiento de sistemas de informacion 
* Politica de gestion de proveedores 

* Politica de gestion de comunicaciones y operaciones 

* Politica de cumplimiento 

* Politica de gestion de riesgos 


Para cada una de estas politicas, en el apéndice A se describen los siguientes atributos: 

¢ Alcance 

* Validez (excepto para las politicas de seguridad de la informacion dirigidas por otras funciones dentro de la empresa) 
— Aplicabilidad—;A qué areas de la empresa se aplica esta politica? 
— Actualizacion y revalidacién—; Quien es el responsable de mantener la politica y cual es la frecuencia de revalidacion? 
— Distribuci6én—zComo se deberian distribuir las politicas en la empresa? 

* Metas (excepto para las politicas de seguridad de la informacion dirigidas por otras funciones dentro de la empresa) 


2.4 Adaptar las Politicas al Entorno de la Empresa 


Estas politicas, y por consiguiente el marco de politicas, deberian estar alineadas con los principios y los objetivos, la 
estrategia y el apetito de riesgo generales de la empresa. Como parte de las actividades de gobierno sobre los riesgos, se 
define el apetito por el riesgo de la empresa, debiendo éste quedar reflejado en las politicas. Una empresa con aversion al 
riesgo tendra diferentes politicas que una organizaciOn que asuma riesgos. Esto se debe a la naturaleza de la empresa, el 
entorno en el que opera y su actitud hacia el riesgo. 


Las politicas deberian tener en cuenta la situacion especifica en la que empresa exista. El contenido de las politicas de la 

empresa cambiara dependiendo del contexto de la organizacion y del entorno en el que opera. Esta situacion especifica 

esta compuesta de factores tales como: 

* Regulaciones aplicables unicamente a la empresa 

* Requisitos de negocio operativos y funcionales 

* Necesidades de propiedad intelectual y proteccion de datos competitivos 

* Politicas existentes de alto nivel y la cultura corporativa 

¢ Disefios unicos de arquitectura TI de la empresa 

* Regulaciones gubernamentales tales como la Ley Federal de Seguridad de la Informacion (Federal Information Security 
Management Act, FISMA) en los Estados Unidos 

¢ Estandares de la industria (PCI DSS) 


En la guia detallada, se hacen algunas propuestas sobre el posible contenido de una politica de seguridad de la informacion: 
¢ Cobertura dentro de la empresa 

¢ Presupuesto y gestion de costes del ciclo de vida de la seguridad de la informacion 
¢ Planes estratégicos y gestion de cartera de la seguridad de la informacion 

¢ Vision, metas y métricas 

¢ Innovacion y buenas practicas 

* Creacion de valor 

¢ Comunicacion e informacion a las partes interesadas 

* Gobierno de la tecnologia y la arquitectura 

¢ Cultura y concienciacion en seguridad de la informacion 

¢ Propiedad atribuida a las partes interesadas relevantes sobre la informacion critica 
* Proveedores y terceros 


Esta lista puede proporcionar una guia para desarrollar una politica unica adaptada y alineada a la situacion especifica. La 
politica puede existir en un documento amplio que contenga todos los elementos relevantes o en un documento de guia 
que contenga una directriz con enlaces a politicas mas detalladas. Las dos opciones son aceptables siempre y cuando el 
formato se describa claramente en el marco de politicas. 
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2.5 Ciclo de Vida de las Politicas 


Segun se define en APO1.03 Mantener los catalizadores del sistema de gestion, las politicas necesitan ser gestionadas a lo 
largo de su ciclo de vida. Se requiere una evaluacion y actualizacion de las politicas de forma regular, y también deberia 
implantarse un mecanismo desencadenante de actualizaciones fuera del ciclo de vida. 





La evolucion y la tecnologia emergente en las politicas: 

La evolucion del uso de los dispositivos moviles, las redes sociales, computacion en la nube, aplicaciones 
departamentales o el uso del negocio de TI no centralizado deberian desencadenar la necesidad de revisar y actualizar 
una politica. Ademas, los cambios en los requerimientos de cumplimiento de regulaciones locales necesitan una 
revision y actualizacion de las politicas existentes, o quizas la necesidad de nuevas politicas. 





Ademas, en muchas empresas se requiere una revision de las politicas fuera de la funcion de seguridad de la informacion. 
Los potenciales problemas de privacidad, por ejemplo, pueden desencadenar la participacion de las funciones de asesoria 
juridica y recursos humanos en la aprobacion de las politicas. La ISSC sigue siendo responsable en ultima instancia del 
desarrollo de las politicas y su actualizacion. Este comité de supervision puede requerir la aprobacion de la direccion 
ejecutiva cuando se adapte toda la politica de la seguridad de la informacion. Para las politicas mas técnicas, el comité 

de supervision puede decidir independientemente. En compafiias mas pequefnas, pueden existir politicas aunque no estén 
documentadas o formalmente aprobadas. 
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CAPITULO 3 
CATALIZADOR: PROCESOS a 
Este capitulo contiene todos los procesos de COBIT 5 creados especificamente para | main | | wit | | ie | 
seguridad de la informacion, incluyendo detalles como metas y métricas de seguridad de Feauos 




















la informacion y actividades especificas de seguridad de la informacion. El contenido del 
proceso de COBIT 5 se reduce a lo que es relevante para seguridad de la informacion 

y se extiende para alinearse con fuentes externas de seguridad de la informacion. 

De por si, esta es una informacion especifica de seguridad complementaria a la publicacion COBIT 5: Procesos Catalizadores. 


Los siguientes elementos seran analizados: 

1. El modelo de proceso 

2. Los procesos de gobierno y gestion 

3. Los procesos de gobierno y gestion de seguridad de la informacion 
4. Relacion de los procesos con otros catalizadores 


Los procesos describen un conjunto organizado de practicas y actividades para alcanzar ciertos objetivos y producir un 
conjunto de salidas como apoyo para alcanzar el total de las metas relacionadas con TI, como se describié anteriormente. 


3.1 El Modelo de Procesos 


La figura 11 muestra los diferentes componentes de un proceso como se define dentro de COBIT 5 para Seguridad de la 
Informacion a alto nivel. 


Figura 11—Catalizador de Cobit 5: Proceso 
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Este modelo de proceso es una extension del modelo de catalizador genérico explicado en la figura 8. COBIT 5 defines a 
process as ‘una coleccion de practicas influidas por las politicas y procedimientos de empresa que toma entradas de 
varias fuentes (incluyendo otros procesos), manipula las entradas y produce salidas (p. ej., productos, servicios)’. El 
modelo de proceso muestra: 

* Los procesos tienen partes interesadas, internas (p.ej. Consejo de Administracion, la direccion, el personal, los voluntarios, 
entidades reguladoras) y externas (p.ej. clientes, socios comerciales, accionistas) cada una con sus propios roles; las partes 
interesadas y sus niveles de responsabilidad (documentados en matrices [RACI] que muestran quién realiza, quién es 
responsable, a quién se consulta 0 a quién se informa). 


Las metas del proceso se pueden categorizar en metas intrinsecas, metas contextuales, y metas de accesibilidad y seguridad. 
En cada nivel de la cascada de metas se definen métricas para medir hasta qué punto dichas metas son alcanzadas. 
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Adicionalmente, un segundo aspecto de la gestion del rendimiento del catalizador describe el grado al que se aplicaron las 
buenas practicas. Aqui también se pueden definir métricas asociadas para ayudar a la gestion del catalizador. 

* Cada proceso tiene un ciclo de vida que incluye que el proceso se define, crea, opera, supervisa y ajusta/actualiza 
o retira. Las practicas de procesos genéricos como las definidas en el modelo de evaluacion de procesos COBIT ! 
basado en ISO/IEC 15504 pueden ayudar en los procesos de definicién, ejecucion, supervision y optimizacion. 

¢ Las buenas practicas internas se describen en un nivel creciente de detalle: practicas, actividades y actividades 
detalladas. Las buenas practicas externas pueden existir en cualquier forma o nivel de detalle, y la mayoria de las 
veces hacen referencia a otros estandares y marcos. Los usuarios pueden referirse a estas buenas practicas externas en 
todo momento, sabiendo que COBIT 5 para Seguridad de la Informacion esta alineado con estos estandares cuando es 
pertinente y se proporcionara informacion de mapeo. 


La alineacién entre COBIT 5 para Seguridad de la Informacion y otros estandares y modelos se describe mas 
detalladamente en la seccion III de esta publicacion. 


La informacion detallada de gobierno y gestion de COBIT 5 relacionada con los procesos y especifica de seguridad de la 
informacion incluye: 
* Identificaci6n del proceso—En la primera pagina de cada descripcion de proceso, se identifica la siguiente informacion: 
— Etiqueta de proceso—Consiste en el prefijo del dominio (EDM, APO, BAI, DSS, MEA) y el nimero de proceso 
— Nombre del proceso—Breve descripcion, indicando el asunto principal del proceso. 
— Area—Gobierno 0 gestion 
— Nombre de Dominio 
¢ Descripcién del proceso—Este parrafo corto describe el proceso en mas detalle y contiene una: 
— Vision general de lo que hace el proceso, p.ej. el propdsito del proceso. 
— Vision a alto nivel de como el proceso lleva a cabo su propésito 
¢ Declaracion del proposito del proceso—Una descripcion del propdsito general del proceso 
¢ Metas y métricas del proceso—Para cada proceso, se incluyen un numero limitado de metas del proceso especificas 
de seguridad de la informacion, y por cada meta del proceso se indican un limitado numero de ejemplos de métricas 
especificas de seguridad de la informacion, reflejando la clara relacion entre metas y métricas. 
¢ Informacion detallada de las practicas de proceso—Este descripcion contiene, para cada practica: 
— Titulo y descripcion de la practica. 
— Entradas y salidas (resultados del trabajo) especificas de la practica de seguridad de la informacion, con 
indicaciones de origen y destino. 
— Actividades del proceso especificas de seguridad de la informaci6n 


3.2 Procesos de Gobierno y Gestion 


Como se ha mencionado anteriormente, uno de los principios rectores de COBIT 5 es la distincion que se realiza entre el 
gobierno y la gestion. En linea con este principio, se espera que la empresa implemente varios procesos de gobierno y 
varios procesos de gestion para proporcionar un gobierno y una gestion integral de la seguridad de la informacion. 


Al considerar los procesos de gobierno y gestion en el contexto empresarial, la diferencia entre los dos tipos de procesos 

reside en los objetivos de los mismos: 

* Procesos de gobierno—Los procesos de gobierno se ocupan de los objetivos de gobierno de las partes interesadas 
— proporcionar valor, optimizar riesgos y recursos. Incluyen practicas y actividades enfocadas a evaluar opciones 
estratégicas, proporcionando direccion a seguridad de la informacion y supervisando sus resultados (como se define en el 
dominio de COBIT 5 Evaluar, Orientar y Supervisar [EDM] , en linea con los conceptos del estandar ISO/IEC 38500). 

* Procesos de gestién—Estos procesos incluyen practicas y actividades orientados a cubrir las areas de responsabilidad 
de planificar, construir, ejecutar y supervisar (Plan, Build, Run and Monitor - PBRM) l|a seguridad de la informacion. 
La gestién de procesos proporciona cobertura extremo a extremo de la seguridad de la informacion. 


Los resultados de los dos tipos de procesos son diferentes y estan destinados a audiencias diferentes. Sin embargo, 
internamente, todos los procesos requieren actividades de planificacion, construccién o implementacion, ejecucion y 
supervision del proceso en si mismo. 


3.3 Procesos de Gobierno y Gestion de Seguridad de la Informacion 


La figura 7 muestra el conjunto completo de los 37 procesos de gobierno y gestion de COBIT 5. Los detalles de todos 
los procesos especificos de seguridad de la informacion, de acuerdo con el modelo de procesos descrito previamente, 
se incluyen en el apéndice B. 





'ISACA, COBIT® Modelo de Evaluacién de Procesos (PAM): Usando COBIT 4,1, EE.UU., 2011, www.isaca.org/cobit-pam 
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3.4 Relacion de los Procesos con Otros Catalizadores 


Como se describe en la seccion I, todos los catalizadores estan interconectados e interacthan dinamicamente; por ejemplo: 

para alcanzar los principales objetivos de la empresa, la empresa debe considerar siempre un conjunto interconectado de 

catalizadores. Por lo tanto, cada catalizador: 

* Necesita la entrada de otros catalizadores para ser completamente efectivo (p.ej.: los procesos necesitan informacion, 
las estructuras organizativas necesitan de habilidades y comportamientos). 

¢ Entrega la salida para beneficio de otros catalizadores (p.ej: los procesos entregan informacion, las habilidades y los 
comportamientos hacen eficientes a los procesos). 


Para cada proceso, se provee de una caja al final de la descripcion del proceso, describiendo los catalizadores relacionados, 
como en el ejemplo siguiente: 


Para mas informacion sobre los catalizadores relacionados, por favor consulte: 
« Apéndice D. Guia detallada: Cultura, Etica y Comportamiento. 
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CAPITULO 4 = 
CATALIZADOR: ESTRUCTURAS ORGANIZATIVAS ) 














Este capitulo discute las estructuras organizativas relevantes para seguridad de la 
informacion. Las estructuras organizativas son los elementos clave en la toma de decisiones 
de una empresa. Se cubren los siguientes elementos: 

1. El modelo de estructuras organizativas. 

2. Ejemplos de roles y estructuras de seguridad de la informacion que se suelen encontrar. 
3. Responsabilidad sobre la seguridad de la informacion dentro de la empresa. 








Informacion | 























4.1 Modelo de Estructuras Organizativas 


Las estructuras organizativas se definen como los elementos clave en la toma de decisiones de una empresa. Estas entidades 
se pueden estructurar de acuerdo a las dimensiones ilustradas en el modelo de catalizadores mostrado en la figura 12. 


Figura 12—Catalizador de COBIT 5: Estructuras Organizativa 
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La figura 12 muestra a un alto nivel los diferentes componentes de la estructura organizativa tal y como se define en esta 
publicacion. El modelo de proceso es una extension del modelo de catalizadores genéricos explicado en la figura 8. 
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El modelo de estructuras organizativas indica que: 

* Los roles de las partes interesadas de las estructuras organizativas (que incluyen la toma de decisiones, influenciar y 
asesorar) varian, segun lo hagan las partes (p.ej.: el interés que tengan en las decisiones tomadas por la estructura). 

¢ Las metas para el propio catalizador de las estructuras organizativas deberian incluir un mandato adecuado, 
principios operativos bien definidos y la aplicacion de otras buenas practicas. El resultado del catalizador de las 
estructuras organizativas deberia incluir varias actividades y buenas decisiones. 

¢ Una estructura organizativa tiene un ciclo de vida. Es creada, existe y es ajustada y, finalmente, puede ser disuelta. 
Durante su creacion, se debe definir un mandato —una razon y un proposito para su existencia. 

¢ Se pueden distinguir varias buenas practicas para las estructuras organizativas, que se describen en detalle en el 
apéndice C. 
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Las partes interesadas son el primer componente en el modelo catalizador de las estructuras organizativas. Desde un punto 

de vista de seguridad de la informacion, las partes interesadas se organizan en dos categorias: 

¢ Roles y estructuras especificas de seguridad de la informacion—FEstos roles y estructuras son internas a la funcion de 
seguridad de la informacion. 

* Roles y estructuras relacionadas con seguridad de la informacioén—FEstos roles y estructuras no estan organizados 
u ocupados por miembros de la funcion de seguridad de la informacion, pero estos roles y estructuras discuten o 
manejan problemas o asuntos de seguridad de la informacion (p.ej.: propietarios de procesos de negocio y usuarios). 


4.2 Roles y Estructuras de Seguridad de la Informacion 


Dentro de una empresa normal, se suelen encontrar los roles y estructuras de seguridad de la informacion descritos en la 
figura 13, filas 1,2 y 3. 


Figura 13—Roles/Estructuras Especificas de Seguridad de la Informacion 


Rol/Estructura 
Director de Seguridad de la Informacidn (CISO) (definido en COBIT 5) ‘| Toda la informacion del programa de seguridad de la informacion de la empresa 


Comité de supervisién de seguridad de la informacién (ISSC) Comprobar mediante la monitorizacion y revision que las buenas practicas en 
seguridad de la informacion se aplican eficiente y consistentemente a lo largo de 


toda la empresa. 


Gerente de seguridad de la informacién (ISM) (definido en COBIT 5) | Responsabilidad general para la gestion de esfuerzos en seguridad de la informacién 


Comité de Gestidn de Riesgos Corporativos (ERM) Es el responsable de la toma de decisiones en la empresa para evaluar, controlar, 
optimizar, financiar y monitorizar el riesgo de todos los origenes con el propdsito de 
incrementar el valor de la empresa a corto y largo plazo para las partes interesadas. 


Custodios de la informacién/propietarios del negocio Es el enlace entre el negocio y las funciones de seguridad de la informacion 


En el apéndice C, se encuentran las descripciones detalladas de estos grupos y roles. Para cada uno de ellos, se han 

descrito las siguientes buenas practicas: 

¢ Composicién—Se deberian requerir un conjunto apropiado de competencias para todos los miembros del grupo 

organizativo. 

¢ Mandato, principios operativos, alcance del control y nivel de autorizaci6n—Estos elementos describen 
los acuerdos practicos de como operara la estructura, los limites de los derechos de decision de la estructura 
organizativa, las responsabilidades y la ruta de escalado o las acciones necesarias en caso de problemas. 

¢ Matriz RACI a alto nivel—Las matrices RACI vinculan actividades de procesos con estructuras organizativas y/o 
roles individuales en la empresa. Estas tablas describen el nivel de involucracion de cada rol para cada practica del 
proceso: (R) Responsable de hacer, (A) Responsable de que se haga, (C) Consultado o (I) Informado. 

¢ Entradas/Salidas—Una estructura requiere entradas (normalmente informacion) antes de que pueda tomar decisiones 
informadas y, asimismo, produce salidas, por ejemplo, decisiones, otra informacion o solicitudes de entradas adicionales. 





Dependiendo de la empresa, se pueden crear roles especificos de seguridad de la informacion adicionales. Ejemplos de 
roles tipicos en un equipo de seguridad de la informacion son: 

¢ Administradores de seguridad de la informacion. 

* Arquitectos de seguridad de la informacion. 

¢ Oficiales de cumplimiento y auditorias de seguridad de la informacion. 


En empresas pequefias, sin embargo, las tareas cubiertas por estos roles pueden recaer en el gerente de seguridad de la 
informacion. Adicionalmente a los roles y estructuras especificos de seguridad de la informacion, en las ultimas dos filas 
de la figura 13 se muestran dos ejemplos de estructuras relacionadas. 


Se puede encontrar una guia practica adicional sobre estas estructuras en el apéndice C. 


Estos roles y estructuras son apropiados para una empresa que no solo maneje informacion sensible, sino que también 
haya alcanzado un cierto tamafio y complejidad organizativa. Para empresas mas grandes 0 empresas que necesitan 
un foco mas fuerte en seguridad de la informacion, es necesaria una organizacion de seguridad de la informacion mas 
elaborada, y se pueden anadir grupos y roles adicionales. 


Se debe prestar especial atencion a la relacion existente entre seguridad de la informacion y la TI dentro de las empresas. Es 

los casos en los que seguridad de la informacion informa directamente a TI, puede existir un conflicto de intereses. TI, por 

su naturaleza, ofrece un servicio a la empresa, mientras que seguridad de la informacion gestiona el riesgo relacionado con la 
proteccion de la informacion. Esta dicotomia puede llevar a TI a ignorar practicas de seguridad de la informacion anteponiendo 
el servicio al cliente. Por lo tanto, se deberia establecer un cierto grado de independencia entre TI y seguridad de la informacion. 


38 


SECCION II, CapiruLo 4 


CATALIZADOR: ESTRUCTURAS ORGANIZATIVAS 


4.3 Responsabilidad Sobre la Seguridad de la Informacion 


Es importante tener en cuenta que la posicion de la(s) funcidén(es) de seguridad de la informacion en la empresa es un 
factor clave para determinar la capacidad de la organizacion para proteger la informacion. Esta posicion puede ser la 
diferencia entre una seguridad de la informacion alineada de forma proactiva con las iniciativas empresariales y aquella 
que solo es una idea de ultimo momento para mitigar el riesgo, con opciones limitadas para el tratamiento del riesgo. 





El consejo de direccion tiene la responsabilidad final de todos los temas, incluyendo la seguridad de la informacion. 
Esta responsabilidad puede y debe ser delegada en el nivel adecuado dentro de la empresa. Teniendo en cuenta 
que la seguridad de la informacion es una cuestion critica para el negocio, la organizacion siempre debe asignar la 
responsabilidad final sobre la seguridad de la informacion a un alto miembro de la direccion ejecutiva. De no hacerlo, 
se puede exponer al consejo directivo a las reclamaciones por negligencia por parte de los reguladores o de otros 
grupos de interés, en caso de que ocurra un incidente. 





La decision de delegar la responsabilidad de manera general depende de la situacion especifica de la empresa. La figura 
14 contiene algunas posibles ventajas y desventajas de que seguridad de la informacion reporte a un determinado rol, que 
se pueden tener en cuenta para tomar la decision. 


Figura 14—Ventajas y Desventajas de Posibles Caminos para el Reporte sobre la Seguridad de la Informacion 


Pp Roles | Mentajas Desventajas 


Director General Ejecutivo (CEO) 


Director de Informatica y Sistemas (CIO) 


Director General Financiero (CFO) 


Director General de Riesgos (CRO) 


Director General de Tecnologia (CTO) 


Director General Operativo (COO) 


Consejo de administracion 


El riesgo de informacidn es elevado al mas alto 
nivel dentro de la empresa. 


Los temas de seguridad de la informacion y 
soluciones pueden ser alineadas con todas las 
iniciativas de TI. 


Los temas de seguridad de la informaci6n 
pueden ser direccionados desde un punto de 
vista de impacto econdmico en el negocio. 


El riesgo de informacién es elevado a una 
posicion que puede mirarse como un riesgo 
con perspectiva de estrategia, financiero, 
operacional, reputacional o de cumplimiento. 


La seguridad de la informacion puede ser 
asociada y se incluira en los futuros planes de 
trabajo de tecnologia. 


Los problemas de seguridad de informacion 
y soluciones pueden ser abordados desde 
el punto de vista del impacto en el negocio 
“operaciones. 


El riesgo de informacidn es elevado al mas alto 
nivel dentro de la empresa. 


Los riesgos de informaci6n necesitan ser presentados 
en un formato que sea comprensible para el CEO. Dada 
la multitud de responsabilidades del CEO, el riesgo de la 
informacion podria ser monitorizado y administrado en 
un nivel demasiado alto de abstraccién o no puede ser 
plenamente entendido en sus detalles relevantes. 


Los riesgos de informacion no se pueden tratados 
debido a que otras iniciativas de Tl tienen prioridad sobre 
la seguridad de la informacion. Existe un conflicto de 
intereses. El trabajo realizado por los profesionales de 
seguridad de la informacion puede estar focalizado en 

Tl y no focalizado en seguridad de la informacion. En 
otras palabras, puede haber un enfoque insuficiente en el 
negocio. 


Los Riesgos de la informacion no pueden ser tratados 
debido a que los plazos de las iniciativas financieras 
tienen prioridad sobre seguridad de la informacion. Existe 
un posible conflicto de interés. 


Esta funcion no existe en la mayoria de las empresas. A 
menudo se encuentra dentro de los servicios financieros. 
En empresas en las cuales el CRO no existe, las 
decisiones de riesgo pueden ser tomadas por el CEO 0 el 
Consejo de Administracion. 


Los riesgos de informacién no pueden ser tratados debido 
a que la tecnologia prevalece sobre la seguridad de la 
informacién. 


Los riesgos de informacién no pueden ser tratados debido 
a que las iniciativas de operaciones y plazos prevalecen 
sobre la seguridad de la informacion. 


Los riesgos de informacion tienen que ser presentados 
en un formato que sea entendible por los miembros del 
consejo, y por lo tanto puede ser un nivel demasiado alto 
para ser relevante. 
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El Comportamiento de los individuos y de las empresas es a menudo subestimado como 
factor de éxito en el gobierno y la gestion de la seguridad de la informacion. En este capitulo se cubren los siguientes 
elementos: 

1. El modelo cultural 

2. El ciclo de vida de la cultura 

3. Liderazgo y campeones que pueden influir en el comportamiento. 

4. El comportamiento deseable que deberia ser fomentado dentro de cualquier empresa. 


5.1 Modelo Cultural 


La cultura, la ética y el comportamiento se pueden estructurar de acuerdo a las dimensiones que aparecen en la figura 15. 


Figura 15—Catalizador COBIT 5: Cultura, Etica y Comportamiento 


Partes Interesadas Ciclo de Vida Buenas Practicas 


Dimension del catalizador 


ise Atienden las 4se Alcanzan las Metas {Se Gestiona {Se Aplican 


Necesidades de las de los : : piste 
Partes Interesadas? Catalizadores? el Ciclo de Vida? Buenas Practicas? 


Métricas para la Consecucion de Metas Métricas para la Aplicacion de las Practicas 
(lave lTor-(olo) cctswro(sM p{=1testsi0)) (Indicadores de Avance) 


La figura 15 muestra los diferentes componentes de la cultura, la ética y el comportamiento tal y como se definen en esta 
publicacion. Este modelo de proceso es una extension del modelo de catalizadores genérico explicado en la figura 8. 
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El modelo de la cultura, la ética y el comportamiento indica que: 

* Los grupos de interés en la cultura, la ética y el comportamiento abarcan toda la empresa, incluso trascienden a grupos de 
interés externos como los reguladores, auditores externos y organismos de supervision. Los intereses son dobles: algunos 
grupos de interés, por ejemplo, juristas, gestores de riesgos, gestores de recursos humanos, directores financieros, se 
ocupan de la definicién, ejecucion y hacer cumplir los comportamientos deseados, mientras que otros tiene que alinearse 
con las reglas y normas ya definidas. Por consiguiente, cuando hay que influir en la cultura, los dos grupos de interés 
deben tenerse en cuenta. Por ejemplo, no solo el personal interno debe ser consciente de la situacion de la seguridad de la 
informacion, sino también lo deben ser los consultores externos, proveedores y otras partes externas. 

* Los objetivos de este catalizador se relacionan con la ética de la organizacion (determinada por los valores que la 
empresa quiere vivir), la ética individual (determinada por los valores personales de cada individuo en la empresa) y 
los comportamientos individuales. 

¢ Las culturas organizativas, la postura ética, los comportamientos individuales, etc. tienen ciclos de vida. A partir de 
la cultura existente, una empresa puede identificar los cambios necesarios y trabajar para que se Ileven a cabo. Hay 
varias herramientas- descritas como buenas practicas- que pueden ser usadas. 
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¢ Buenas practicas para crear, fomentar y mantener un comportamiento deseado en toda la empresa incluyen: 
— La comunicacion a toda la empresa de los comportamientos deseados y de los valores corporativos fundamentales 
—Conocimiento de la conducta deseada (reforzado por el comportamiento ejemplar de la alta direccion y otros lideres) 
— Incentivos para alentar y medidas disuasorias para hacer cumplir las actitudes, normas y reglas (que proporcionan una 
mayor orientacion sobre los comportamientos deseados y relacionan muy claramente con los principios y politicas). 


El comportamiento humano es uno de los factores claves que determinan el éxito de cualquier empresa. Los 
comportamientos de todos los miembros de la empresa determinan colectivamente la cultura de la empresa. Muchos 
factores dirigen el comportamiento: factores externos tales como las creencias, el origen étnico, el nivel socio econdmico, 
la ubicacion geografica, las experiencias personales y las relaciones interpersonales en las empresas, los objetivos y las 
ambiciones personales. 


La cultura se define en BMIS? como “un patron de comportamientos, creencias, suposiciones, actitudes y formas de hacer las 
cosas”. La publicacién de ISACA Creando la Cultura de la Seguridad de la Informacion’ amplia el liderazgo de pensamiento 
en torno a la cultura y la seguridad de la informacion y describe la cultura de la seguridad de la informacion como: 


Todas las empresas tienen una cultura en seguridad de la informacion. En la mayoria de los casos, carece de 
intencionalidad y es inconsistente a las medidas que existen; en otros, es robusta y guia las actividades diarias de 
los empleados y otras personas que entran en contacto con la empresa. 


5.2 Ciclo de Vida de la Cultura 


Como la cultura trasciende a la empresa, evoluciona en el tiempo. Los comportamientos se adaptan, y la conciencia 
cultural sobre la seguridad de la informacion puede aumentar o disminuir. Es importante entender la cultura existente, para 
que los cambios positivos permitan alcanzar una cultura de la seguridad. Existen muchas metodologias de medicion de la 
cultura. Ademas de la medir la cultura empresarial, la eficacia de las medidas de seguridad de la informacion deberia ser 
medida para evaluar la cultura de la seguridad subyacente. 


Para tener una vision correcta de la cultura de la seguridad de la informacion, el comportamiento de las partes interesadas 

se debe medir en el tiempo. Ejemplos de tales mediciones incluyen: 

* Calidad de las contrasefias 

¢ Uso de tarjetas magnéticas 

¢ Numero de candados para portatiles distribuidos y utilizados por los empleados 

* Debates publicos con informacion confidencial 

¢ Falta de enfoque de la seguridad (contrasefas compartidas, accesos fisicos aprovechando las credenciales de la 
persona autorizada, etc.) 

¢ Proteccion de la contrasefia del usuario en la practica 

« Adhesion a las practicas de gestion de cambios en aplicaciones y sistemas 

* Cumplimentacion de los registros de visitantes y responsabilidad de los visitantes 

* Porcentaje de etiquetado y marcado correcto de la informacion (electronica e impresa) 


Como datos estaticos, estos indicadores tienen poco valor. Solo cuando se examina su evolucion a lo largo del tiempo pueden 
proporcionar estas métricas simples un mecanismo solido de evaluacion de la cultura de la seguridad de la informacion. 


5.3 Lideres y Campeones 


Para influir en la cultura, la empresa necesita lideres para llevar a cabo los cambios en toda la empresa. Los lideres son 
esas personas de la empresa que estan dispuestas a hablar y servir de ejemplo para otros. Los lideres pueden ser los altos 
ejecutivos de una empresa, pero la actividad no se limita solo a ese grupo dentro de la organizacion. Los miembros del 
personal también pueden ser lideres mientras que proporcionan activamente el soportes para el cambio y la aplicacion de 
la cultura. Crear una Cultura de la Seguridad de la Informacion ofrece varios candidatos que pueden servir como lideres 
de la seguridad de la informacion. 

¢ Gestores de Riesgos 

¢ Profesionales de la seguridad de la informacion 

¢ Ejecutivos de alto nivel: CEO, COO, CFO, CIO 

¢ Director de Recursos Humanos 





2 ISACA, The Business Model for Information Security (BMIS), EE.UU., 2010 
3 ISACA, Creating a Culture of Security, EE.UU., 2011 
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EI liderazgo — los que toman las decisiones — en este contexto de seguridad de la informacion puede ser igual de 
importante. Los lideres son necesarios para influir en que la toma de decisiones tenga en consideracion los requisitos de 
seguridad de la informacion. Es obvio que el liderazgo y los lideres se pueden solapar; sin embargo, ambos se mencionan 
en diferente contexto. El liderazgo se categoriza como: 

¢ Direccion ejecutiva 

¢ Direccion del negocio 

* CISO/ISM 


5.4 Comportamiento Deseable 


Se han identificado varios comportamientos deseables que influyen positivamente hacia una cultura de seguridad de la 

informacion y su implementacion en el dia a dia. Estos incluyen: 

¢ La seguridad de la informacion se pone en practica en las operaciones diarias. 

¢ Las personas respetan la importancia de las politicas y los principios de seguridad de la informacion. 

¢ A las personas se les proporcionan directrices suficientes y detalladas sobre seguridad de la informacion; ademas, se 
fomenta su participacion activa en el cambio de la situacion actual de la seguridad de la informacion. 

¢ Todo el mundo es responsable de la proteccion de la informacion en la empresa. 

* Las partes interesadas saben como identificar y dar respuesta a las amenazas de la empresa. 

¢ La direccion soporta proactivamente y anticipa nuevas innovaciones en seguridad de la informacion y lo comunica a 
la empresa. La empresa es receptiva para reconocer y gestionar los nuevos retos de seguridad de la informacion. 

¢ La direccion del negocio entabla colaboraciones continuas con otras funciones que tiene en cuenta la eficacia y la 
eficiencia de los programas de seguridad de la informacion. 

¢ La direccion ejecutiva reconoce el valor de la seguridad de la informacion para el negocio. 


Para cada uno de los comportamientos deseables identificados, los siguientes atributos son descritos en el Apéndice D: 

* Etica organizativa—Determinada por los valores que la empresa quiere vivir. 

¢ Etica individual—Determinada por los valores de cada individuo de la empresa que, en gran medida, estan 
influidos por valores externos como las creencias, el grupo étnico, la localizacion geografica, la historia socio- 
economica y las experiencias personales. 

¢ Liderazgo—Las maneras en las que el liderazgo puede influir sobre el comportamiento deseable: 
— Como la comunicacion, la aplicacion de las reglas y las normas pueden ser utilizadas para influir en el comportamiento 
— La influencia sobre el comportamiento a través del uso de incentivos y recompensas 
— Crear conciencia 


Para una informacion mas detallada sobre la cultura de seguridad de la informacion pueden consultarse BMIS y “Creating 
a Culture of Information Security” en www.isaca.org. 
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Este capitulo contiene directrices sobre cémo la informacion subyacente a la organizacion = 
ee 
Recursos 


puede ser utilizada para gobernar y gestionar la seguridad de la informacion en la empresa. 
Se analizaran los siguientes elementos: 

1. El modelo de informacion 

2. Ejemplos de tipos comunes de informacion 

3. Los grupos de interés de la informacion y como identificar las partes que estan implicadas dentro de la empresa 

4. El ciclo de vida de la informacion, describiendo las diferentes fases de la gestidn de la informacion en este contexto 





























El uso de la informacion esta generalizado en todas las empresas y se requiere para mantenerlas operativas y bien 
gobernadas. En el nivel operacional, la informacion es frecuentemente el producto clave de la empresa. 


6.1 Modelo de Informacion 


La informacion (y, como consecuencia, la comunicacién) no es solo el principal objeto de la seguridad de la informacion, 
sino que se trata ademas, de un catalizador clave para la seguridad de la informacion. La informacion como catalizador de 
la seguridad de la informacion significa que la direcci6n puede utilizar la informacién como base de la toma de decisiones 
(por ejemplo, el ISSC puede utilizar el perfil de seguridad de la informacion para desarrollar una estrategia de seguridad 
de la informacion). 


La figura 16 muestra a alto nivel los diferentes componentes de la informacion, tal y como estan definidos en esta 
publicacion. Este modelo de proceso es una extension del modelo de catalizadores genérico explicado en la figura 8. 


Figura 16—Catalizador de COBIT 5: Informacion 


Partes Interesadas Ciclo de Vida Buenas Practicas 


Dimension del catalizador 


goe Atienden las ése Alcanzan las 
INCeLexetsy (0 (0 (stsm0 [eM Fels) Metas de los 
Partes Interesadas? Catalizadores? 
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El modelo de informacion indica que: 

* Deben identificarse las partes interesadas internas y externas y sus areas clave de responsabilidad; por ejemplo, debe 
estar claro por qué se preocupan o estan interesados en la informacion. 

« Las metas de la informacion estan divididas en tres sub-dimensiones de calidad: 
— Calidad intrinseca—Extremo hasta el que los valores en relacion a los datos son conformes con los valores actuales o reales 
— Calidad contextual y de representatividad—Punto hasta el que la informacion es aplicable a los usuarios y es presentada 

de forma inteligible y clara, reconociendo que la calidad de la informacion depende del contexto en el que se usa 

— Calidad de seguridad / accesibilidad—Extremo hasta el que la informacion esta disponible o se puede obtener 
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¢ El ciclo de vida completo de la informacion debe ser considerado y pueden ser necesarias diferentes aproximaciones 
durante las diferentes fases del ciclo de vida (planificar, disefiar, construir/adquirir, usar / operar, supervisar y eliminar). 
¢ Las buenas practicas consideran que la informacion consta de seis capas, presentando de forma continua los atributos 
de la informacion, desde el uso en el mundo fisico, donde los atributos son enlazados con las tecnologias y los 
medios para capturar, almacenar, procesar, distribuir y presentar, hasta el uso en el mundo social para dar sentido a la 
informacion (“‘sense-making’’) y actuar. 


6.2 Tipos de Informacion 


La siguiente lista contiene ejemplos de tipos de informacion que son habituales en el contexto de gobierno y gestion de la 
seguridad de la informacion. Estos tipos de informacion varian desde una estrategia hasta un cuadro de mandos operacional, 
cada uno de ellos sirviendo a un proposito especifico dentro del gobierno y la gestion de la seguridad de la informacion. 


Esta lista no se pretende que sea exhaustiva, pero proporciona una idea de como el detalle de seguridad de la informacion 
se extiende a través de la empresa. Dependiendo de cada empresa, la lista podria ser mas limitada 0 mas extensa. 


Ejemplos de estos tipos de informacion son: 
¢ Estrategia de seguridad de la informacion 
* Presupuesto de seguridad de la informacion 
¢ Plan de seguridad de la informacion 
* Politicas 
* Requisitos de seguridad de la informacion, que podrian incluir: 
— Requisitos de configuracion de la seguridad 
— Requisitos de seguridad de la informacion en los acuerdos a nivel de servicio (SLA) y en los acuerdos a nivel 
operacional (OLA) 
¢ Material para la concienciacion 
¢ Informes de revision de seguridad de la informacion, que podrian incluir: 
— Hallazgos de auditorias de seguridad de la informacion 
— Informes de madurez de seguridad de la informacion 
— Gestion de riesgos relacionada con la seguridad de la informacion: 
- Analisis de amenazas 
- Informes de evaluacion de vulnerabilidades 
* Catalogo de servicios de seguridad de la informacion 
* Informacion sobre el perfil de riesgo, que incluye: 
— El registro de riesgos 
— Informes de violaciones y pérdidas (informe consolidado de incidentes) 
¢ Cuadro de mando de seguridad de la informacion (0 equivalentes), que incluye: 
— Incidentes de seguridad de la informacion 
— Problemas de seguridad de la informacion 
— Métricas de seguridad de la informacion 


Para cada uno de los tipos de informacion, se proporciona una guia mas detallada en el apéndice E, incluyendo: 

¢ Metas—Descripciones de varias metas a alcanzar, utilizando las tres categorias definidas en el modelo de 
informacion 

* Ciclo de vida—Una descripcion especifica de los requisitos del ciclo de vida, ademas de una aproximacion general 
tal y como se describe en el ciclo de vida de la informacion en la subseccién 6.4 Ciclo de Vida de la Informacion 

¢ Buenas practicas para este tipo de informacion—Una descripcidn con contenidos y estructura tipicos 


6.3 Grupos de interés en la Informacion 


Identificar el grupo de interés en la informacion es esencial para optimizar el desarrollo y la distribucion de la informacion 
a través de la empresa. Esta subseccion proporciona una aproximacion para resumir los emisores y los destinatarios de 
cada tipo habitual de informacion. 


Por ejemplo, las partes interesadas de la informacion relacionada con la seguridad de la informacion en una tipica empresa 

mediana o pequefia (PYME) pueden ser estructuradas como se indica en la figura 17, incluyendo: 

* Descripcion de la parte interesada—Una version racionalizada de la lista de estructuras genéricas de COBIT 5, 
complementada con varias partes interesadas externas adicionales para este dominio especifico. Esta lista refleja la 
estructura menos compleja de una PYME, comparada con la de las grandes empresas. 


46 


SECCION IL, CAPITULO 6 
CATALIZADOR: INFORMACION 


¢ Tipos de informacion, tal y como son descritos en la subseccion 6.2 Tipos de Informacion. 
* Una indicacion de la naturaleza de las relaciones entre las partes interesadas para cada tipo de informacion: 
— A — Aprobador 
— O - Originador (emisor) 
—I-—Informado del tipo de informacion 
—U- Usuario del tipo de informacion 


Figura 17—Ejemplos de Grupos de Interés para Informacién Relacionada con Seguridad de la Informacion 
(Empresas Pequefias /Medianas) 


Tipo de informacion 


Estrategia de Seguridad de la Informacion 
Presupuesto de Seguridad de la Informacion 

Plan de Seguridad de la Informacion 

Requerimientos de Seguridad de la Informacion 
Informes de Revision de Seguridad de la Informacion 
Catalogo de Servicios de Seguridad de la Informacion 
Perfil de Riesgo de la Informacion 

Cuadro de Mando de Seguridad de la Informacion 


Material de Concienciacion 


Parte Interesada 
Interno: Empresa 


Director General Financiero (CFO) 

Director de Seguridad de la Informacién (CISO) 

Comité de Direccion de la Seguridad de la Informacion (ISSC) 
Propietario del proceso de negocio 

Jefe de Recursos Humanos (HR) 
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Director Informatica/Sistemas (CIO) 
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Gerente de Seguridad de la Informacion (ISM) 


Inversores 





Auditores Externos 


Una plantilla con todos los tipos de informacion y las partes interesadas potenciales basada en COBIT 5 se proporciona 
en el apéndice E. 


6.4 Ciclo de Vida de la Informacion 


Los tipos especificos de informacion relacionados con la seguridad de la informacion, tales como los ejemplos 
proporcionados en la subseccion 6.2 Tipos de Informacion, estan vinculados también a un ciclo de vida. Ademas, la 
funcion de seguridad de la informacion tiene un importante rol facilitador en este ciclo de vida. Esta dualidad en el 
contexto de la informacion (como facilitador del ciclo de vida y como usuario de la informacion) supone un aumento en la 
importancia de la seguridad de la informacion en la empresa. 
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La gestion del conocimiento se describe en el proceso BAI08 de COBIT 5: Procesos Catalizadores. Este proceso 
detalla el ciclo de vida que la informacion debe seguir para estar segura y eficientemente gestionada en la empresa. 

El ciclo de vida completo de la informacion debe ser considerado para asegurar su exactitud y uso optimo. 
Adicionalmente, podrian ser necesarias diferentes aproximaciones a la informacion en diferentes fases del ciclo de vida. 
Se pueden distinguir las siguientes fases: 

¢ Planificar/disefiar/construir/adquirir—La informacion es identificada, adquirida y clasificada en esta fase. Las 

actividades en esta fase se pueden referir al desarrollo de estandares y definiciones (p.ej., definiciones de datos o 

procedimientos de recoleccion de datos), la creacion de registros, la compra de datos o la carga de ficheros externos. 

¢ Usar/operar—FEsta fase incluye: 

— Almacenar—La fase en la cual la informacion se encuentra electronicamente o en copia impresa (0 incluso en la 
memoria humana). Las actividades en esta fase se pueden referir al almacenamiento de la informacion de forma 
electronica (por ejemplo, ficheros electrénicos, bases de datos 0 almacenes de datos) 0 en copia impresa (por ejemplo, 
documentos en papel). 

— Compartir—La fase en la cual la informacion se encuentra disponible para su uso a través de un método de 
distribucion. Las actividades en esta fase se pueden referir a los procesos involucrados en obtener la informacion 
y ubicarla donde pueda ser accesible y utilizada (p.ej., distribuir documentos via email). Para la informacion 
que se encuentra de forma electronica, esta fase del ciclo de vida puede solaparse en gran medida con la fase de 
almacenamiento (por ejemplo, compartir informacion a través del acceso a bases de datos 0 a ficheros / documentos en 
servidores). 

— Usar—La fase en la cual la informacion se utiliza para alcanzar las metas. Las actividades en esta fase se pueden 
referir a diferentes tipos de uso de la informacion (p.ej., toma de decisiones gerenciales, ejecutar procesos 
automatizados), y también pueden incluir actividades como la recuperacion de la informacion o la conversion entre 
diferentes tipos de formatos de la informacion. 

¢ Supervisar—La fase en la cual se asegura que los recursos de la informacion continuan trabajando de la forma 
apropiada (es decir, que la informacion siga siendo de valor). Las actividades en esta fase se pueden referir al 
mantenimiento de la informacion actualizada asi como a otro tipo de actividades de gestion de la informacion (por 
ejemplo, mejora, depuracion, fusion de datos o eliminacion de informacion duplicada en almacenes de datos). 

¢ Eliminar—La fase en la cual los recursos de la informacion se descartan cuando ya no son Utiles. Las actividades en 
esta fase se pueden referir al archivado o la destruccion de la informacion. 


Las fases del ciclo de vida de la informacion estan alineadas con las practicas del proceso BAIO8. 


En la guia detallada del apéndice E se proporcionan una descripcion especifica de los requisitos del ciclo de vida y 
una aproximacion general. 
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Los servicios, la infraestructura y las aplicaciones proporcionan a la empresa informacion, 
procesado de la informacion y servicios. Los siguientes elementos se cubren en este capitulo: 
1. El modelo de servicios, infraestructura y aplicaciones 

2. Los servicios, la infraestructura y las aplicaciones de seguridad de la informacion habituales en las empresas 


7.1L Modelo de Servicios, Infraestructuras y Aplicaciones 


Los servicios, las infraestructuras y las aplicaciones se pueden estructurar conforme a las dimensiones ilustradas en la 
figura 18. 


Figura 18—Catalizador COBIT 5: Servicios, Infraestructuras y Aplicaciones 


Partes Interesadas Ciclo de Vida Buenas Practicas 


Dimension del catalizador 
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Partes Interesadas? Catalizadores? 


Métricas para la Consecucién de Metas Métricas para la Aplicacion de las Practicas 
(Indicadores de Retraso) (Indicadores de Avance) 


La figura 18 muestra a alto nivel los diferentes componentes de servicios, infraestructuras y aplicaciones, tal como se 
definen en esta publicacion. Este modelo de procesos es una extension del modelo genérico de catalizadores expuesto en 
la figura 8. 
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El modelo de servicios, infraestructuras y aplicaciones indica que: 

¢ Las partes interesadas en las capacidades de servicio (el término que describe conjuntamente a los servicios, las 
infraestructuras y las aplicaciones) pueden ser internas 0 externas. Los servicios pueden ser prestados por entidades 
internas o externas (p.ej., departamentos internos de TI, gerentes de operaciones, proveedores de servicios externos), 
y los usuarios de servicios también pueden ser internos (p.ej., usuarios de negocio) o externos a la compafiia (p.ej., 
socios, clientes, proveedores). Los intereses de cada una de las partes implicadas deben ser identificados y se 
centraran en ofrecer los servicios adecuados o en recibir los servicios solicitados por parte de los proveedores. 

* Los objetivos de la capacidad a nivel de servicio se expresan en términos de servicios (aplicaciones, infraestructura 
y tecnologia) y niveles de servicio, considerando qué servicios y niveles de servicio son mas econdmicos para la 
compafiia. Una vez mas, los objetivos se relacionan con los servicios y con cémo estos son proporcionados, asi 
como con sus resultados, es decir, la contribucion a unos procesos de negocio satisfactoriamente sustentados. Esto se 
describe con mayor detalle en el apéndice F. 

« Las capacidades de servicio tienen un ciclo de vida. Las capacidades de servicio futuras o previstas se describen 
normalmente con una arquitectura objetivo. Se cubren asi los bloques constituyentes, tales como las aplicaciones 
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futuras y el modelo de infraestructura objetivo, describiéndose asimismo los nexos y relaciones entre dichos bloques 
constituyentes. 
¢ Las buenas practicas para las capacidades de servicio incluyen: 

— La definicion de los principios de la arquitectura (guias generales que gobiernan la implementacion y el uso de recursos 
relacionados con TI dentro de la empresa) 

— La definicion de las perspectivas arquitectonicas mas adecuadas (para satisfacer las necesidades de las distintas partes 
interesadas) 

— Un repositorio de arquitecturas (el cual se puede utilizar para almacenar distintos tipos de resultados arquitectonicos) y 
niveles de servicio que deben ser definidos y conseguidos por los proveedores del servicio 


Existen buenas practicas externas para entornos de arquitectura y capacidades de servicio. Se trata de guias, modelos o 
estandares que pueden usarse para acelerar la creacion de entregables de arquitectura. 


7.2 Servicios, Infraestructuras y Aplicaciones de Seguridad de la Informacion 


Se precisa de capacidades de servicio que proporcionen a la empresa seguridad de la informacion y funcionalidades 
relacionadas. Los servicios no solo requieren infraestructuras y aplicaciones, sino que se ofrecen mediante una 
combinacion de otros catalizadores tales como los procesos, la informacion y las estructuras organizativas. 


La siguiente lista contiene algunos ejemplos de servicios potencialmente relacionados con la seguridad tal y como podrian 

aparecer en un catalogo de servicios. Normalmente, estos servicios estan vinculados a uno 0 mas procesos de COBIT 5 ya 

sus practicas y actividades, y requieren informacion (entradas y salidas) y estructuras organizativas (matrices RACI, roles 

o funciones de seguridad especificos). La siguiente lista proporciona una vision orientada al servicio de las actividades 

relacionadas con la seguridad y no pretende duplicar o replicar procesos de seguridad: 

¢ Proporcionar una arquitectura de seguridad. 

¢ Proporcionar concienciacion sobre seguridad. 

* Proporcionar un desarrollo seguro (desarrollo alineado con los estandares de seguridad). 

¢ Proporcionar evaluaciones de seguridad. 

¢ Proporcionar sistemas adecuadamente securizados y configurados, en linea con los requerimientos de seguridad y la 
arquitectura de seguridad. 

¢ Proporcionar acceso a los usuarios y derechos de acceso de acuerdo con los requerimientos del negocio. 

¢ Proporcionar una adecuada proteccion frente al software malicioso, ataques externos e intentos de intrusion. 

¢ Proporcionar una adecuada respuesta frente a incidentes. 

¢ Proporcionar pruebas de seguridad. 

¢ Proporcionar servicios de monitorizacion y alerta para eventos relacionados con la seguridad. 


Para cada una de estas capacidades de servicio, los bloques de servicios constituyentes se han descrito en el apéndice F: 

¢ Una descripci6n detallada del servicio, proporcionando funcionalidad al negocio 

 Atributos, describiendo para cada servicio las entradas y tecnologias de apoyo (incluyendo aplicaciones e 
infraestructura) 

¢ Metas, describiendo los objetivos de calidad y cumplimiento para cada capacidad de servicio y las métricas 
relacionadas 
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Las personas deben demostrar las habilidades y competencias adecuadas para asegurar que 
todas las actividades se completan con éxito y que se toman las decisiones correctas. 

En este capitulo se revisan los siguientes elementos: 

1. El modelo de habilidades y competencias 

2. Habilidades y competencias relacionadas con la seguridad de la informacion 


8.1 Modelo de Personas, Habilidades y Competencias 


El personal, las habilidades y las competencias se pueden estructurar conforme a las dimensiones ilustradas en el modelo de 
catalizador de la figura 19. 


Figura 19—Catalizador COBIT 5: Personas, habilidades y Competencias 
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La figura 19 muestra los diferentes componentes del personal, habilidades y competencias tal y como estan definidos en 
esta publicacion. Este modelo de proceso es una extension del modelo genérico de catalizadores explicado en la figura 8. 


El modelo de personal, habilidades y competencias indica que: 

¢ Diferentes partes interesadas pueden asumir diferentes roles (p.ej. gerente de negocio, jefe de proyecto, socio, 
competidor, reclutador, formador, desarrollador, especialista técnico de TI, ISM, CISO, regulador), y cada rol requiere 
un conjunto de habilidades distinto. 

* Los objetivos para las habilidades y las competencias estan vinculados a grados de educacion y cualificacion, 
habilidades técnicas, niveles de experiencia, conocimiento, y destrezas conductuales necesarias para proporcionar e 
implementar satisfactoriamente actividades de proceso, roles de la organizacion, etc. Las metas para los recursos 
humanos incluyen niveles adecuados de disponibilidad del personal y ratios de rotacion. 

¢ Las habilidades y competencias tienen un ciclo de vida. Una compajiia debe conocer su linea base de habilidades 
actual y planificar de acuerdo con lo que debe ser. En ello influyen, entre otros factores, la estrategia y metas de la 
empresa. Las habilidades deben ser desarrolladas (p.ej. mediante formacion), adquiridas (p.ej. mediante contratacion) 
y desplegadas en los diversos roles dentro de la estructura de la organizacion, y pueden incluso descartarse (p.ej. si 
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una actividad se automatiza o externaliza). La empresa debe, periddicamente, evaluar su linea base de habilidades 
para comprender la evolucion que ha tenido lugar. 

¢ Las buenas practicas sobre destrezas y competencias incluyen la definicion de la necesidad de requisitos objetivos 
para las habilidades y para cada rol asumido por las diversas partes interesadas. Esto puede describirse mediante 
diferentes niveles de habilidades en diferentes categorias, para cada una de las cuales deberia estar disponible una 
definicion de cada habilidad. Las categorias de las habilidades corresponden a las actividades relacionadas con TI 
acometidas; en este caso, funciones relacionadas con la seguridad de la informacion. 


Este capitulo describe las habilidades y aptitudes al nivel 6ptimo posible. En la realidad, sin embargo, las empresas pueden 
no siempre requerir este nivel optimo de habilidades, 0 pueden no ser capaces de emplear recursos que demuestren un 
nivel 6ptimo de destrezas. 


8.2 Habllidades y Competencias Relacionadas con la Seguridad de la Informacion 


Para implementar con eficiencia una funcion de seguridad de la informacion dentro de una empresa, deben ejercer esta 
funcion los individuos con un conocimiento y experiencia (p.ej., destrezas y aptitudes) apropiados. 


En la figura 20 se listan algunas habilidades y aptitudes tipicas relacionadas con la seguridad. Mientras en empresas mas 
grandes estas habilidades se pueden traducir en puestos especificos (p.ej., las habilidades en arquitectura de seguridad de 
la informacion pueden equivaler a un puesto para un arquitecto de seguridad de la informacion) este puede no ser el caso 
en empresas mas pequefias. 


Figura 20—Habilidades/Competencias de Seguridad de la Informacion 


Habilidades/Competencias 

Gobierno de seguridad de la informacion 

Formulacion estratégica de seguridad de la informacion 
Gestion del riesgo de la informacion 

Desarrollo de la arquitectura de seguridad de la informacion 
Operaciones de seguridad de la informacion 

Evaluaci6n, pruebas y cumplimiento de la informacion 





Para cada una de las habilidades y aptitudes de la figura 20, se describen los siguientes atributos en el apéndice G: 

* Definicién de la habilidad 

* Objetivos—Segun se han definido anteriormente 

* Catalizadores relacionados—Se requieren habilidades y competencias para llevar a cabo actividades de proceso 
y para tomar decisiones en las estructuras organizativas. A su vez, algunos procesos estan orientados a dar soporte 
al ciclo de vida de destrezas y competencias. 





El valor anadido de la certificacién en seguridad de la informacion: 

Los atributos de las habilidades y competencias se alinean con los andlisis de las practicas de las certificaciones de 
ISACA: Certificado de Auditor de Sistemas de Informacion CISA), Certificado de Gestor de Seguridad de la Informacion 
(CISM), Certificado en el Gobierno de TI en Empresas (CGEIT), Certificado en el Control del Riesgo y de los Sistemas 
de Informacion (CRISC), y Profesional certificado en seguridad de sistemas (CISSP) del (ISC)’. Dado que la certificacion 
es un medio objetivo para demostrar a los empleadores que los profesionales tienen un conocimiento de base dentro de un 
dominio, una certificacion CISM 0 equivalente se sugiere para todas las habilidades definidas anteriormente. 








Las habilidades y competencias siguen un ciclo de vida. Una actividad de seguridad de la informacion debe identificar su 
linea base de habilidades actual, y alinear esa linea base con el conjunto de habilidades requerido. En ello influyen (entre 
otros aspectos) la estrategia y objetivos de seguridad de la informacion. Las habilidades han de ser desarrolladas (p.ej. 
mediante formacion presencial e interactiva) o adquiridas (p.ej. mediante contratacion) y desplegadas en los distintos 
roles dentro de la estructura. Las habilidades pueden necesitar ser realineadas si, por ejemplo, una actividad se automatiza 
o externaliza. Periddicamente, por ejemplo, anualmente, la empresa precisa evaluar su linea base de habilidades para 
comprender la evolucion que ha tenido lugar; esta evaluacion alimentara el proceso de planificacion del periodo siguiente. 
La evaluacion también puede alimentar el proceso de reconocimiento y recompensa de las personas. 


Notese que los atributos que describen las habilidades y competencias son un conjunto de criterios y no una descripcion 


obligatoria de un puesto. Las decisiones sobre contratacién deberian ser tomadas en funcion de todos los factores 
previamente descritos asi como la adecuacion general del individuo a la empresa. 
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SEcCION LL. ADAPTANDO COBIT' 5 PARA SEGURIDAD DE LA 
INFORMACION AL ENTORNO DE LA EMPRESA 


CAPITULO 1 
INTRODUCCION 


La seguridad de la informacion es valorable en una empresa solamente cuando esta suficientemente adaptada a la situacion 
unica en la que esa empresa existe y opera. Esta situaci6n Unica se crea por numerosos elementos de desafio asociados 

al cambio del entorno. La Seccion II describe los catalizadores especificos de seguridad de la informacién que pueden 
utilizarse para la mejora de la madurez/capacidad/rendimiento de la seguridad de la informacion en la empresa. Adaptar 
estos catalizadores especificos al entorno empresarial es el desafio que se describira en esta seccion. 


ISACA proporciona una guia de implementacién completa y practica concerniente al gobierno de las TI corporativas 

en su publicacion COBIT® 5 Implementacion,‘ que se basa en un ciclo de mejora continua. Esta guia no pretende ser un 
enfoque prescriptivo, sino mas bien una guia para profesionales de la seguridad de la informacion que necesitan integrar la 
seguridad dentro del marco operacional completo de una empresa. La guia también se apoya en un kit de herramientas de 
implementacidn que contiene varios recursos que seran mejorados continuamente. Su contenido incluye: 

¢ Herramientas de autoevaluacion, medicion y diagndstico. 

¢ Presentaciones orientadas a diferentes audiencias. 

¢ Articulos relacionados y explicaciones adicionales. 


El proposito de esta seccidn es introducir el ciclo de implementacion y mejora continua hasta alcanzar un alto nivel y 
describe esta guia genérica desde la perspectiva de la seguridad de la informacién. Ademas, la relacidn con los marcos de 
trabajo de la seguridad de la informacion, las buenas practicas y estandares existentes se describe en la segunda parte de 
esta seccion. 





4+ISACA, COBIT 5 Implementacion, EE.UU., 2012, www.isaca.org/cobit 
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CAPITULO 2 
IMPLEMENTACION DE INICIATIVAS DE SEGURIDAD DE LA INFORMACION 


2.1 Considerando el Contexto Empresarial de la Seguridad de la Informacion 


Cada empresa necesita definir e implementar sus propios catalizadores de la seguridad de la informacion dependiendo de 
los factores especificos de los entornos internos y externos de la empresa, tales como: 

* Etica y cultura relativas a la seguridad de la informacion 

* Leyes, regulaciones y politicas aplicables 

* Regulaciones contractuales aplicables 

* Politicas y practicas existentes 

* Nivel de madurez de los catalizadores de la seguridad de la informacion actuales 

* Las capacidades de la seguridad de la informacion y recursos disponibles 

* Practicas de la industria 

¢ Estandares obligatorios y marcos de trabajo existentes con respecto de la seguridad de la informacion 


Los requerimientos de la seguridad de la informacion de la empresa necesitan definirse basandose en: 
¢ Planes e intenciones estratégicas del negocio 

* Estilo de gestion 

* Perfil de riesgo de la informacion 

¢ Apetito de riesgo 


Por consiguiente, el alcance para la implementacion de las iniciativas de la seguridad de la informacion sera diferente para 
cada empresa y es necesario comprender y considerar el contexto para adaptar eficazmente COBIT 5 para Seguridad de la 
Informacion. Es igualmente importante aprovechar y construir sobre los catalizadores especificos para la seguridad de la 
informacion existentes. 


COBIT 5 para Seguridad de la informacion conecta con otros marcos de trabajo, buenas practicas y estandares: 
COBIT 5 para Seguridad de la informacion iesta respaldado por otros marcos de trabajo, buenas practicas y estandares. 


Estos deberian proporcionar detalles a los profesionales de la seguridad de la informacion sobre temas especificos para 
optimizar los catalizadores descritos en esta publicacion. La conexion de COBIT 5 para Seguridad de la Informacion 
apuntala estos marcos de trabajo, buenas practicas y estandares que se describen en la siguiente parte de esta secciOn. 





En general, los factores clave de éxito para una implementaci6n con éxito de los catalizadores de la seguridad de la 

informacion incluyen: 

¢ La direccién y mandato para la iniciativa de la seguridad de la informacion, asi como el compromiso y apoyo visible 
y continuo de la alta direccion 

¢ La iniciativa de la seguridad de la informacion entiende el negocio y los objetivos de TI apoyados por todas las partes 

* Comunicacion eficaz y habilitacion de los necesarios cambios garantizados 

* COBIT 5 para Seguridad de la Informacion y otros apoyos de buenas practicas y estandares adaptados para encajar en 
el contexto unico de la empresa 

¢ Centrarse en resultados rapidos y priorizando las mejoras mas faciles de implementar. 

¢ Adecuada financiacion y compromiso de recursos 

¢ Recursos humanos adecuadamente preparados que puedan implementar los catalizadores 


2.2 Creando el Entorno Apropiado 


Para que las iniciativas de la seguridad de la informacién se aprovechen de COBIT es importante que estén adecuadamente 
gobernadas y gestionadas. Las principales iniciativas relacionadas con TI a menudo fracasan debido a una direccion, respaldo 
y vigilancia inadecuados de las partes interesadas; la implementacion de los catalizadores de seguridad de la informacion 
utilizando esta publicacion no es diferente. El apoyo y la direccion de las partes interesadas mas importantes son criticos 

para garantizar que se consiguen y mantienen las mejoras. En un entorno de empresa débil (asi como en el de una estrategia 
general de la seguridad de la informacion poco clara), este apoyo y participacion es incluso mas importante. 


El uso de catalizadores (aprovechando COBIT 5 para Seguridad de la Informacion) deberia ser una solucion real para las 
necesidades y cuestiones del negocio mas alla de un fin en si mismo. Los requerimientos de la seguridad de la informacion 
basados en los puntos débiles y elementos clave actuales deberian ser identificados y aceptados por la direccion como 
areas que necesitan ser consideradas. Los chequeos de salud de alto nivel, diagnosticos 0 evaluaciones de capacidad 
basados en esta publicacion son herramientas que pueden utilizarse para tomar conciencia, crear consenso y generar un 
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compromiso para actuar. El compromiso y la adhesion de las partes interesadas mas importantes se debe solicitar desde 
el comienzo. Para conseguirlo, los objetivos y beneficios de la implementacion deben estar claramente expresados en los 
términos del negocio y resumidos en un esbozo de caso de negocio. 


Una vez obtenido el compromiso, es necesario contar con los recursos adecuados para apoyar el programa de la seguridad 
de la informacion. Se deben definir y asignar los roles y responsabilidades clave. Se deberia cuidar el mantenimiento de 
forma permanente del compromiso de todas las partes interesadas afectadas. 


Para dirigir y vigilar se deben establecer y mantener estructuras y procesos adecuados. Estas estructuras y procesos 
también deben garantizar el alineamiento continuo con la gobernanza de toda la empresa, el enfoque de la gestion de 
riesgos y la estrategia del negocio. 


Las partes interesadas clave, asi como los ejecutivos sénior, deben proporcionar apoyo y compromiso visibles para establecer 
“el tono en la cuspide“ y asegurar el compromiso de todos los niveles en el programa de la seguridad de la informacion. 


2.3 Reconociendo Puntos Débiles y Eventos Desencadenantes 


Hay varios factores que pueden indicar una necesidad para mejorar los catalizadores de la seguridad de la informacion. 
Al utilizar puntos débiles 0 eventos desencadenantes como punto de lanzamiento para la implementacion de iniciativas, 
el caso de negocio para la mejora del catalizador de la seguridad de la informacion puede estar relacionado con aspectos 
practicos, diarios. Esto deberia mejorar su aceptacion y crear un sentido de urgencia dentro de la empresa, necesario para 
lanzar la implementacion. 


En resumen, se pueden identificar ganancias rapidas y se pueden demostrar valores afiadidos en aquellas areas que sean 
mas visibles 0 reconocibles en la empresa. Esto proporciona una plataforma para introducir mas cambios y puede ayudar 
en la obtencion del compromiso y el apoyo amplio de la direccion sénior a cambios mas generales. 


Algunos ejemplos de tipicos puntos débiles para los que unos nuevos 0 revisados catalizadores de la seguridad de la 
informacion pueden ser la solucién son: 
* Incidentes de seguridad de la informacion en la empresa 0 en los competidores tales como: 

— La pérdida o robo de informacion causada por usuarios no autorizados que irrumpen en el sistema 

— Denegacion de servicio como resultado de ciberataques 

— Modificaciones (no)intencionadas de informacion critica 
* Fallos en el cumplimiento de requerimientos legal, regulatorio 0 contractuales, asi como las reglas de privacidad 
¢ La incapacidad de incorporar nueva tecnologia debido a las restricciones de la seguridad de la informacion 
* Hallazgos de auditoria regularmente relacionados con las pobres capacidades de la seguridad de la informacion. 


Ademas de estos puntos débiles, otros eventos internos o externos del entorno de la empresa pueden ser sefial o 
desencadenar la atencion sobre el gobierno y la gestion de las TI corporativas. Ejemplos de esto incluye: 

¢ Nuevos requisitos de regulacién, cumplimiento o contractuales 

¢ Cambios significativos de tecnologia o cambios de paradigma 

¢ Auditorias externas 0 evaluaciones de consultores 

¢ Fusiones, adquisiciones u otros cambios organizativos mayores 


2.4 Posibilitar el Cambio 


El éxito de la implementacion depende de la gestion del cambio de forma eficaz. En muchas empresas, hay un foco 
significativo sobre los aspectos técnicos del programa de seguridad de la informacion, pero no suficiente énfasis en la 
gestion de los aspectos humanos, de comportamiento y culturales del cambio y en la motivacion a las partes interesadas 
para que se incorporen a ese cambio. 


No se deberia asumir que varias partes interesadas involucradas, o impactadas por, los catalizadores de la seguridad de la 
informacion nuevos o revisados aceptaran y adoptaran rapidamente los cambios propuestos. La posibilidad de ignorancia 
y/o la resistencia al cambio necesita abordarse mediante un enfoque estructurado y proactivo. En apoyo de esto, se lograra 
una Optima toma de conciencia del programa de implementacion mediante un plan de comunicacion que defina para cada 
fase del programa que sera comunicado, de qué forma y por quién. 


Se puede lograr una mejora sostenible obteniendo el compromiso de las partes interesadas mediante persuasion y 
recomendacion o, donde sea posible, obligacion de cumplimiento de la legislacion, regulaciones o acuerdos contractuales. 
En otras palabras, se han de tener en cuenta cuestiones humanas, costumbres y de cultura para crear una cultura en la que 
las partes interesadas sean participantes activos en alcanzar los objetivos de seguridad de la empresa. 
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Cultura de seguridad de la informacion y cambio: 

Las practicas de los catalizadores de la cultura, éticas y costumbres que se presentan en esta secciOn II son, de lejos, 
las herramientas mas importantes para reducir cualquier resistencia al cambio. La influencia en los comportamiento 
mediante una comunicacion eficaz, una identificacion de los incentivos y recompensaciones correctas y relevantes, 
y forzar la adherencia a los cambios son importantes factores a tener en cuenta. Invertir en practicas de influencia 
posibilitara la aceptacion de los cambios realizados. Por supuesto esto requerira tiempo y paciencia de los miembros 
del equipo de la seguridad de la informacion. 


2.5 Un Enfoque del Ciclo de Vida 








La implementacion del ciclo de vida proporciona a las empresas una manera de solucionar la complejidad y los desafios 
que normalmente aparecen durante las implementaciones usando COBIT para contemplar la seguridad de la informacion. 
Hay tres componentes interrelacionados del ciclo de vida (ver los circulos de la figura 21): 

* El ciclo de vida de mejora continua —Lo que refleja que esto no es un proyecto puntual 

* La habilitacion del cambio — Abordar los aspectos de comportamiento y culturales 

+ La gestion del programa 


Como se ha comentado anteriormente, se debe crear el entorno apropiado para asegurar el éxito de la implementacién o de 
la iniciativa de mejora. El ciclo de vida y sus siete fases se ilustran en la figura 21. 


Figura 21—Las Siete Fases de la Implementacion del Ciclo de Vida 


e Gestion del programa 
(anillo exterior) 


e Habilitacion del cambio 
(anillo intermedio) 


e Ciclo de vida de mejora continua 
(anillo interior) 


‘dentificar ro\ 8° 
9S interviniente> 


Par 2 
4 éQUE es preciso Nace 





El proposito de la fase 1 es comprender la amplitud y profundidad de los cambios previstos, las diversas partes interesadas 
que estan afectadas, la naturaleza del impacto y la participacion de cada grupo de partes interesadas, asi como la 
preparacion y capacidad de adaptarse al cambio. 





El entorno de la seguridad de la informacion: 

Los puntos débiles y eventos desencadenantes relativos a seguridad de la informacion deberian evaluarse a fondo. Las 
practicas operativas presentadas en el catalizar informacion en la seccion II pueden ser muy utiles para esta evaluacion. 
Los informes de revision de la seguridad de la informacion, incluyendo resultados de auditoria e informes de riesgo o 

el cuadro de mando de la seguridad de la informacion pueden proporcionar una entrada importante sobre incidentes de 
seguridad, problemas y riesgos. Las discusiones con la direccion ejecutiva deberian proveer una plataforma para establecer 
el deseo de cambio presentando temas e informes de una manera clara y comprensible. 








La Fase 2 esta enfocada en definir el alcance de la iniciativa de implementacién 0 mejora. Un diagndéstico a alto-nivel 
puede ser de utilidad para determinar el alcance y conocer las areas de mayor prioridad en las cuales enfocarse. Se 
realiza entonces una evaluacion del estado actual de cada fase, y se identifican cuestiones o deficiencias a través de 
una evaluacion de capacidades de procesos. Las iniciativas de gran escala deben ser estructuradas como interacciones 
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multiples del ciclo de vida. Para cualquier iniciativa de implantacion que exceda los 6 meses, existira un riesgo de perder 
el impulso, el foco y la aceptacion de los grupos de interés. 


Determinacion del alcance de la seguridad de la informacion: 

Para determinar el alcance de la iniciativa de la seguridad de la informacion, el estado actual de todos los catalizadores 
de la seguridad de la informacion deberia ser evaluado y verificado. Para los procesos, la determinacion del alcance 
puede estar basada en los objetivos de la seguridad de la informacion asociados a procesos de TI (como se documenta 
en la seccion II de la guia detallada de procesos). Seria util considerar como los escenarios de riesgo pueden resaltar 
procesos clave en los cuales enfocarse. 





Durante la Fase 3, se fija un objetivo de mejora, acompafado de un analisis mas detallado utilizando esta publicacién y 
otras guias (ver secciOn III, 2.2 Creando el Entorno Apropiado) para identificar desajustes y posibles soluciones. Algunas 
soluciones pueden ser ganancias rapidas y otras, actividades mas retadores y a mas largo plazo. La prioridad debe ser dada 
a las iniciativas que sean mas sencillas de conseguir y aquellas que probablemente rindan los mayores beneficios. 


Usando la direccion de la seguridad de la informacion: 

En la siguiente parte de esta seccidn, se proporciona orientacion adicional para conectar marcos de seguridad de 

la informacion, buenas practicas y estandares usados comunmente. Una fase importante en el ciclo de vida de la 
implantacion es la fijacion correcta de objetivos y determinar como los marcos de trabajo para la seguridad de la 
informacion, buenas practicas y estandares relevantes pueden ayudar a la empresa en la consecucion de este objetivo. 


Las ganancias rapidas (iniciativas con alto impacto y bajo esfuerzo) para una iniciativa de la seguridad de la informacion 
son a menudo muy desafiantes. El hecho del constante equilibrio entre asegurar la seguridad de la informacion y 
posibilitar a la empresa debe siempre ser tenido en cuenta cuando se definan estas ganancias rapidas. Los cambios 
visibles son necesarios para que una ganancia rapida demuestre rapidamente el valor afiadido a la empresa. 














La Fase 4 planea soluciones practicas definiendo proyectos apoyados por casos de negocio justificables. También 

se desarrolla un plan de cambio para la implantacion. Un caso de negocio bien desarrollado ayuda a asegurar que los 
beneficios del proyecto son identificados y controlados. Se pueden definir y supervisar medidas usando los objetivos 
y métricas de COBIT 5 Seguridad de la Informacion para asegurar que la alineacion con el negocio esta garantizada y 
mantenida y el rendimiento pueden ser medido. 


La Fase 5 implementa las soluciones propuestas en practicas del dia a dia. Para tener éxito, es necesario el compromiso y 
la demostrada implicacion del equipo de alta direccion, asi como la toma de propiedad por las partes afectadas del negocio 
y las partes interesadas de TI. 


La Fase 6 se focaliza en la sostenibilidad de las operaciones de los nuevos 0 mejorados catalizadores y la supervision 
de la consecucion de los beneficios esperados. En otras palabras, esta fase sirve para determinar si los objetivos se han 
alcanzado y son sostenibles. 


Durante la Fase 7, se revisa el éxito en conjunto de la iniciativa, se identifican requerimientos adicionales para la 


seguridad de la informacion de la empresa, y se refuerza la necesidad de mejora continua. Con el tiempo, el ciclo de vida 
debe ser seguido de forma iterativa mientras se construye un acercamiento sostenible a la seguridad de la informacion. 
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CAPITULO 3 

Usanpno COBIT' 5 PARA SEGURIDAD DE LA INFORMACION PARA 
CONECTAR Orros Marcos DE TRABAJO, MODELOS, BUENAS 
PRACTICAS Y ESTANDARES 


COBIT 5 para Seguridad de la Informacion pretende ser un marco de trabajo “paraguas” para conectar con otros marcos 
de trabajo, buenas practicas y estandares de seguridad de la informacion. COBIT 5 para Seguridad de la Informacion 
describe la omnipresencia de la seguridad de la informacion a lo largo de toda la empresa y provee un marco genérico 

de catalizadores, pero otras publicaciones pueden ser de ayuda también porque desarrollan aspectos mas concretos (p. 

ej. practicas para la seguridad de la informacion o guias de configuracion). Los marcos, buenas practicas y estandares 
relevantes para seguridad de la informacion necesitan ser adaptados para encajar en requerimientos especificos del entorno 
especifico de la empresa. El lector puede entonces decidir, sobre la base de las necesidades especificas de la empresa, 

qué marco o combinacion de marcos es mejor utilizar, teniendo también en consideracion la situacion heredada, la 
disponibilidad del marco y otros factores. Para esto, el mapa de COBIT 5 Seguridad de la Informacion con los estandares 
relacionados del apéndice H ayudara a encontrar un marco adecuado segun las necesidades relevantes. 


Ejemplos de marcos y modelos, buenas practicas y estandares relevantes para la seguridad de la informacion son: 

¢ Business Model for Information Security (BMIS), ISACA, EE.UU., 2010 

¢ 2011 Standard of Good Practice for Information Security, Information Security Forum (ISF), Reino Unido, 2011 

* Common Security Framework (CSF), Health Information Trust Alliance (HITRUST), EE.UU., 2009 

¢ Expression des Besoins et Identification des Objectifs de Sécurité (EBIOS), Direction Centrale de la Sécurité des 
Systemes d’Information (DCSSI), Ministerio de Defensa, Francia, 2000 

¢ Health Insurance Portability and Accountability Act (HIPAA)/Health Information Technology for Economic and 
Clinical Health (HITECH), EE.UU., 1996 y 2009, respectivamente 

* Series ISO/IEC 2700, Suiza, 2009-2012 

¢ National Institute of Standards and Technology (NIST) Special Publication (SP) 800-53A, Guide for Assessing the 
Information Controls in Federal Information Systems and Organizations, Building Effective Security Assessment 
Plans, Departamento de Comercio, EE.UU., 2010 

* Operational Critical Threat, Asset, and Vulnerability EvaluationSM (OCTAVE®), Carnegie Mellon Software 
Engineering Institute (SEI), EE.UU., 2001 

¢ Payment Card Industry Data Security Standards (PCI DSS) v2.0, PCI Security Standards Council, EE.UU., 2010 


Ademas, una vez se ha identificado la guia mas adecuada, COBIT 5 para Seguridad de la Informacion puede ser usado 
para estructurar los contenidos de estas publicaciones y realizar un analisis de diferencias, como se describe en la fase 3 de 
del ciclo de vida de la implantacion. 


Sin embargo, es importante hacer notar que los estandares relacionados con la seguridad de la informacion y sus areas 
relacionadas son abundantes y estan en constante evolucion; por lo tanto este capitulo refleja muchos de los estandares 
disponibles. 


En el apéndice H presenta una detallada plantilla para comparar y evaluar las siguientes publicaciones: 

* The 2011 Standard of Good Practice for Information Security, Information Security Forum (ISF), Reino Unido, 
2011, www.securityforum.org/?page=publicdownload201 lsogp 

* ISO/IEC 27001 y 27002, Suiza, 2005, www.iso.org/iso/store.htm 

* NIST SP 800-53A, Guide for Assessing the Information Security Controls in Federal Information Systems and 
Organizations, Building Effective Security Assessment Plans, Departamento de Comercio, EE.UU., 2010, 
http://csrc.nist.gov/publications/PubsSPs.html 
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Este apéndice provee detalles acerca de los principios y politicas para la seguridad de la 
informacion presentadas en la seccion II. Los principios para la seguridad de la informaci6n comunican las reglas de la 
empresa para apoyar los objetivos de gobierno y los valores empresariales, como hayan sido definidos por el Consejo y el 
comité ejecutivo de direccion. Estos principios son desarrollados en detalle en la subseccion A.1 de este apéndice. 


Adicionalmente, las politicas proporcionan una guia mas detallada sobre como aplicar los principios a la practica y como 
influiran en la toma de decisiones. Los ejemplos de politicas incluyen: 

* Politica de seguridad de la informacion 

* Politica de control de accesos 

* Politica de seguridad de la informacion del personal 

* Politica de seguridad fisica y ambiental 

* Politica de gestion de incidentes 

* Politica de continuidad de negocio y recuperacion ante desastres 

* Politica de gestion de activos 

* Reglas de comportamiento (uso aceptable) 

* Politica de adquisicion, desarrollo de software y mantenimiento de sistemas informaticos 
* Politica de gestion de proveedores 

* Politica de gestion de comunicaciones y operaciones 

* Politica de cumplimiento 

* Politica de gestion de riesgos 


Para cada una de las politicas presentadas en la seccion II, los siguientes atributos se describen en este apéndice: 

¢ Alcance 

¢ Validez (excepto para las politicas de seguridad de la informacion dirigidas por otras funciones dentro de la organizacion) 
— Aplicabilidad—zA qué areas de la organizacion se aplica esta politica? 
— Actualizacion y revalidacién—; Quien es el responsable de mantener la politica y cual es la frecuencia de revalidacion? 
— Distribuci6én—;Como se deberian distribuir las politicas en la empresa? 

¢ Metas (excepto para las politicas para la seguridad de la informacion dirigidas por otras funciones dentro de la empresa) 


A.1 Principios de la Seguridad de la Informacion 


En 2010, tres organizaciones globales lideres en seguridad de la informacion — ISACA, ISF e (ISC)’—unieron fuerzas 
para desarrollar 12 principios independientes y no propietarios que ayudaran a los profesionales de la seguridad de la 
informacion a afiadir valor a sus organizaciones mediante un apoyo al negocio con éxito y la promocion las de buenas 
practicas para la seguridad de la informacion (www.isaca.org/Knowledge-Center/Standards/Pages/Security-Principles. 
aspx). Estos principios estan estructurados para dar soporte a tres tareas: 

¢ Dar soporte al negocio. 

¢ Defender el negocio. 

¢ Promover un comportamiento responsable en seguridad de la informacion. 


Estos tres principios, en la figura 22, son genéricos y aplicables a todas las compafiias. Esta lista puede ser usada como 
base para el desarrollo de principios para la seguridad de la informacion unicos para la empresa. 


Figura 22—Principios para la Seguridad de la Informacion 


1. Dar soporte al negocio. 


Entregar calidad y Asegurar que la seguridad | Las partes interesadas internas y externas deben estar comprometidas a través de 
valor a las partes de la informacién entrega | comunicaciones regulares de forma que sus requerimientos cambiantes puedan continuar 
interesadas. valor y cumple los siendo alcanzables. La promocién del valor de la seguridad de la informacién (tanto financiero 
requerimientos de negocio. | como no-financiero) ayuda a ganar apoyo para la toma de decisiones, las cuales pueden 
convertirse en ayuda para el éxito de la visién de la seguridad de la informacion. 
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Figura 22—Principios para la Seguridad de la Informacién (cont.) 


1. Apoyo al negocio. (cont.) 


Cumplir con los 
requerimientos 
legales y regulatorios 
relevantes. 


Proveer informacién 
oportuna y exacta 
sobre el rendimiento 
de la seguridad de la 
informacion. 


Evaluar las amenazas 
actuales y futuras de 
la informacion. 


Promover la mejora 
continua en la 
seguridad de la 
informacién. 


Asegurar que se cumplen las 
obligaciones estatuarias, se 
gestionan las expectativas 
de las partes interesadas, 

y se evitan las sanciones 
criminales 0 civiles. 


Apoyar los requerimientos 
del negocio y gestionar los 
riesgos de la informacidn. 


Analizar y evaluar las 
amenazas emergentes en 
seguridad de la informacion 
de forma que se puedan 
tomar acciones a tiempo 

y con informacion para 
mitigar el riesgo. 


Reducir costes, mejorar 

la eficacia y eficiencia, 

y promover una cultura 

de mejora continua en la 
seguridad de la informacién. 


2. Defender el negocio. 


Adoptar un enfoque 
basado en el riesgo. 


Proteger la 
informaci6n. 


Centrarse en las 
aplicaciones de 
negocio criticas. 


Desarrollar sistemas 
de forma segura. 
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Asegurar que el riesgo se 
trata de forma consistente 
y eficaz. 


Prevenir la revelacién de 
informacion clasificada (p. 
ej. confidencial o sensible) a 
individuos no autorizados. 


Priorizar los escasos 
recursos de la seguridad de 
la informacion protegiendo 
las aplicaciones de 

negocio en las cuales un 
incidente en la seguridad 
de la informacion tendria 

el mayor impacto en el 
negocio. 


Construir sistemas de 
calidad y de manera 

eficaz en los cuales el 
personal delnegocio pueda 
confiar (p. ej. que sean 
consistentemente robustos, 
exactos y confiables). 


Las obligaciones de cumplimento deben ser identificadas, traducidas a requerimientos 
especificos para la seguridad de la informacién y comunicadas a todas las personas relevantes. 
Las sanciones asociadas al no-cumplimiento deben ser claramente entendidas. Los controles 
deben supervisados, analizados y mantenidos al dia para cumplir con nuevos 0 actualizados 
requisitos legales o regulatorios. 


Los requerimientos para proveer informacién sobre el rendimiento de la seguridad de la 
informacion deben estar claramente definidos, apoyados por las mas relevantes y exactas 
métricas de seguridad de la informacion (como cumplimiento, incidentes, controles de estado y 
costes) y alineadas con los objetivos de negocio. La informaci6n debe ser capturada de forma 
periddica, consistente y rigurosa, de manera que sea informacion correcta y los resultados 
puedan presentarse para satisfacer los objetivos de las partes interesadas relevantes. 


Se deben clasificar en un marco de trabajo exhaustivo y estandar las grandes tendencias y 

las amenazas especificas de la seguridad de la informacion, cubriendo un amplio rango de 

temas, tales como aspectos politicos, legales, econdmicos, socio culturales y técnicos. Las 

personas deben compartir y adquirir conocimiento sobre nuevas amenazas para considerar 
proactivamente sus causas, mas que sus sintomas. 


Los constantemente cambiantes modelos de negocio -emparejados con las amenazas en 
evolucion- requieren que las técnicas para la seguridad de la informacion se deaen adaptar 
y mejorar su nivel de eficacia de forma continua. Deben conocerse las ultimas técnicas 

de seguridad de la informacion aprendiendo de los incidentes y estando en contacto con 
organismos de investigacién independientes. 


Las opciones para abordar riesgos de la informacion deben ser revisadas de forma que se tomen 

decisiones informadas y documentadas sobre el tratamiento del riesgo. El tratamiento de los 

riesgos implica elegir entre una o mas opciones, las cuales normalmente incluyen: 

 Aceptar el riesgo (mediante un miembro directivo que firma que él/ella ha aceptado el riesgo y 
no es necesario realizar acciones adicionales) 

e Evitar el riesgo (p. ej., decidiendo no perseguir una iniciativa particular) 

e Transferir el riesgo (p. ej., externalizando o contratando un seguro) 

e Mitigar el riesgo( normalmente aplicando las medidas apropiadas de seguridad de la 
informacién, p. ej., controles de acceso, controles de red y gestion de incidentes) 


La informacion debe ser identificada y después clasificada de acuerdo a su nivel de 
confidencialidad (p. ej. secreta, restringida, interna y publica). La informacidn clasificada debe ser 
protegida apropiadamente a lo largo de los estados de su ciclo de vida -desde su creacion a su 
destruccién- usando los controles apropiados como cifrado o restriccién de accesos. 


Entender el impacto en el negocio de una pérdida de integridad o disponibilidad de informacion 
importante manejada por las aplicaciones de negocio (procesada, almacenada 0 transmitida) 
ayudara a establecer el nivel de criticidad. Los requisitos de recursos para la seguridad de la 
informacién pueden ser entonces determinados y emplazados con prioridad en proteger las 
aplicaciones que son mas criticas para el éxito de la empresa. 


La seguridad de la informacion debe estar integrada en las fases de definicidn del alcance, 
disefo, construccidn y pruebas del ciclo de vida de desarrollo (SDLC). Las buenas practicas para 
la seguridad de la informacion (p. ej. pruebas rigurosas para detectar debilidades de la seguridad 
de la informacién; revision por iguales; y la habilidad de hacer frente a errores, excepciones 

y condiciones de emergencia) deben jugar un papel clave en todas las fases del proceso de 
desarrollo. 
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Figura 22—Principios para la Seguridad de la Informacién (cont.) 
3. Promover un comportamiento responsable en seguridad de la informacion. 


Actuar de una manera | Asegurar que las La seguridad de la informacion depende en gran medida de la capacidad de los profesionales del 

profesional y ética. actividades relacionadas sector para realizar sus funciones con responsabilidad y con plena consciencia de como su integridad 
con la seguridad de la tiene un impacto directo sobre la informacién que se encargan de proteger. Los profesionales de la 
informacion se llevan a seguridad de la informacion necesitan estar comprometidos con un alto nivel de calidad en su trabajo, 
cabo de una manera fiable, | al tiempo que demuestran un comportamiento coherente y ético, y respeto hacia las necesidades del 
responsable y eficaz. negocio, hacia otros individuos y hacia la informacidn (a menudo personal) confidencial. 


Fomentar una Proporcionar una influencia Se debe poner especial énfasis en hacer de la seguridad de la informacion una parte clave del 
cultura positiva de positiva en el comporta- dia a dia del negocio, aumentando la conciencia entre los usuarios y garantizando que éstos 
la seguridad de la miento de los usuarios finales | cuenten con las habilidades necesarias para proteger la informacion y los sistemas criticos 0 
informacion. respecto ala seguridad dela | clasificados. Debe hacerse que los individuos tomen conciencia de los riesgos de la informacion 
informacion, reducir la proba- | a su cuidado y debe potenciarseles para que tomen las medidas necesarias para protegerla. 
bilidad de que se produzcan 
incidentes de seguridad de la 
informacion y limitar su im- 
pacto potencial en el negocio. 





A.2 Politica de Seguridad de la Informacion 


Esta seccion cubre la politica de seguridad de informacion a alto nivel, describiendo el alcance de la politica y de las 
personas involucradas. La informacion contenida en esta seccién deberia adaptarse a conveniencia de las necesidades 
especificas de una empresa. 


Alcance 

El aspecto y la extensidn de una politica de seguridad de la informacion varian ampliamente de unas empresas a otras. 
Algunas consideran que un resumen de una pagina es suficiente como politica de seguridad de la informacion. En este 
caso, la politica podria considerarse como una declaracion de alto nivel y debe describir claramente los enlaces a otras 
politicas especificas. En otras empresas, la politica de seguridad de la informacion esta completamente desarrollada, 
conteniendo, casi en su totalidad, el nivel de detalle necesario para poner los principios en practica. Es importante entender 
qué esperan las partes interesadas en la informacion, en términos de cobertura, y adaptarse a estas expectativas. La 
informacion contenida en el apéndice E, relativo al facilitador informacion, debera resultar util a este respecto. 


Independientemente de su extension o grado de detalle, la politica de seguridad de la informacion necesita un alcance 

claramente definido. Esto incluye: 

* Una definicion de seguridad de la informacion para la empresa 

¢ Las responsabilidades asociadas con la seguridad de la informacién 

¢ La vision relativa a la seguridad de la informacion, acompafiada de las metas y métricas apropiadas y una explicacion 
de cémo dicha visién es apoyada por la cultura y la concienciacion sobre seguridad de la informacion 

* Explicacion de como la politica de seguridad de la informacion se alinea con otras politicas de alto nivel 

¢ Elaboracion de aspectos especificos de seguridad de informacion, tales como la gestion de datos, la evaluacion de 
riesgos de la informacion y el cumplimiento de las obligaciones legales, reglamentarias y contractuales 

* Potencialmente, la gestidn del presupuesto y coste del ciclo de vida de la seguridad de informacion. Pueden afiadirse, 
también, los planes estratégicos de seguridad de la informacion y la gestidn de la cartera asociada a los mismos. 


Esta lista no es exhaustiva; se pueden afiadir mas temas en el alcance dependiendo de la empresa. Es importante innovar 

constantemente y reutilizar buenas practicas, las cuales pueden mejorarse a través de la comunicacion, la presentacion de 
informes y el gobierno necesario de la arquitectura y de la tecnologia. También se deben tener en cuenta la organizacion 

especifica y la interaccion con las partes interesadas. 


La politica deberia comunicarse activamente a toda la empresa y distribuirse a todos los empleados, contratistas, empleados 
temporales y terceros proveedores. Las partes interesadas deben conocer los principios de la informacion, los requisitos de 
alto nivel y los roles y responsabilidades para la seguridad de la informacion. La responsabilidad de actualizar y revalidar la 
politica de seguridad de la informacion recae sobre la funcion de seguridad de la informacion (CISO/ISM). 


A.3 Politicas Especificas de Seguridad de la Informacion Dirigidas por la 
Funcion de Seguridad de la Informacion 


Esta subseccion incluye varios ejemplos de politicas que son dirigidas por diferentes funciones de seguridad de la 
informacion. Las funciones consideradas incluyen el control de acceso, la informacion personal, la informacion fisica y 
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ambiental y los incidentes de seguridad. Para cada una de estas politicas, se ofrece una descripcion que ilustra el alcance y 
las metas de la politica y su distribucion a la audiencia adecuada. 


Politica de Control de Acceso 

La politica de control de acceso proporciona un acceso adecuado a las partes interesadas, internas y externas, a fin de que 
se alcancen los objetivos del negocio. Esto se puede medir con métricas tales como el: 

¢ El numero de violaciones de acceso que exceden la cantidad permitida 

¢ La cantidad de trabajo interrumpido debido a derechos de acceso insuficientes 

¢ El numero de incidentes o hallazgos de auditoria relativos a segregacion de funciones 


Adicionalmente, la politica de control de acceso deberia garantizar que el acceso de emergencia esté debidamente 
permitido y revocado en el momento oportuno. Las métricas relacionadas con este objetivo incluyen el: 

¢ El numero de solicitudes de acceso de emergencia 

¢ El numero de cuentas de emergencia activas que exceden los limites de tiempo aprobados 


La politica de control de acceso deberia cubrir los siguientes temas, entre otros: 
¢ El ciclo de vida del aprovisionamiento del acceso fisico y logico 

¢ El criterio de menor privilegio 0 necesidad de conocer 

¢ La segregacion de funciones 

* Acceso en caso de emergencia 


Esta politica esta destinada a las correspondientes unidades de negocio, a los proveedores y a terceros. Las actualizaciones 
y revalidaciones deben involucrar a RRHH, a los propietarios de datos y sistemas y a seguridad de la informacion. Toda 
politica nueva o actualizada deberia distribuirse a las correspondientes unidades de negocio, a los proveedores y a terceros. 


Politica de Seguridad de la Informacion Relativa al Personal 

El objetivo de la politica de seguridad de la informacion relativa al personal incluye, entre otros, los siguientes objetivos: 

¢ Realizar regularmente una verificacién de antecedentes de todos los empleados y las personas en puestos clave. Este 
objetivo se puede medir a través del recuento del numero de verificaciones de antecedentes completadas para el personal 
clave. Se puede ampliar con el numero de renovaciones de verificaciones de antecedentes vencidas sobre la base de una 
frecuencia predeterminada. 

¢ Obtener informacion sobre el personal clave en puestos de seguridad de informacion. Esto puede ser seguido por el 
recuento del numero de personas en puestos clave que no han rotado de acuerdo con una frecuencia predefinida. 

¢ Desarrollar un plan de sucesion para todos los puestos clave relacionados con la seguridad de informacion. Una posible 
medida es listar todos los puestos criticos de la seguridad de informacion que no cuentan con personal de respaldo. 

* Verificar si todo el personal de seguridad de la informacion tiene las habilidades pertinentes y las certificaciones afines, 
vigentes. La escasez de personal adecuado o cualificado en los puestos criticos de seguridad de informacion podria 
reflejar el estado de este objetivo. 


Esta politica esta destinada a las correspondientes unidades de negocio, a los proveedores y a terceros. Las actualizaciones 
y revalidaciones deben involucrar a RRHH, al director de privacidad, a asesoria juridica, a seguridad de la informacion 

y al area de proteccion de instalaciones. Toda politica nueva o actualizada debera ser distribuida a los empleados, a los 
contratistas, a los proveedores segun se especifique en contrato y a los empleados temporales. 


Politica de Seguridad Fisica y Ambiental 

El objetivo de esta politica es proporcionar orientacion relativa a: 

* Proteccion de ubicaciones fisicas 

* Controles ambientales que proporcionen capacidad a las operaciones de soporte. 


La proteccion de la ubicacion fisica puede ser medida a través del el numero de vulnerabilidades explotables identificadas 
y/o por los incidentes atribuidos a las amenazas propias de la localizacion fisica (actos delictivos, riesgos industriales o de 
transporte, amenazas naturales). Los controles ambientales pueden ser verificados mediante la medicion de la cantidad de 
vulnerabilidades explotables identificadas y/o incidentes atribuidos a los sistemas de control ambiental. 


Indirectamente, la politica contribuye a la optimizacion de los costes de los seguros. Una métrica relacionada puede ser la 
tendencia de los costes por seguros relacionados con la pérdida debido a las amenazas fisicas, delictivas y medioambientales. 


El alcance de la politica puede incluir: 
¢ Seleccion de instalaciones: 

— Criterios para la selecci6n 

— Atributos de construccion 
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¢ Las normas de control medioambiental 
¢ Las normas de control de acceso fisico (para empleados, proveedores, visitantes) 
¢ Supervision de seguridad de la informacion y la deteccion de intrusiones fisicas 


Esta politica esta dirigida a los empleados, a todas las unidades de negocio, a los proveedores que porten activos/ 
equipos de la organizacion y a todos los visitantes. Las actualizaciones y revalidacion deberian involucrar al area de 
instalaciones, al de asesoria juridica, a seguridad de la informacion y a los titulares de datos y sistemas. Toda politica 
nueva o actualizada deberia distribuirse a los empleados, a los contratistas, a los proveedores segtin se especifique en 
contrato y a los empleados temporales. 


Politica de Respuesta a Incidentes de Seguridad 
El alcance de esta politica cubre la necesidad de responder a los incidentes de una manera oportuna para recuperar las 
actividades de negocio. La politica deberia incluir: 
* Una definicion de incidente de seguridad de informacion 
¢ Una declaracion de como se manejaran los incidentes 
* Requisitos para establecer el equipo de respuesta a incidentes, con roles y responsabilidades. 
* Requisitos para la creacion de un plan probado de respuesta a incidentes, que proporcionara los procedimientos y 
directrices documentados relativos a: 
— Criticidad de los incidentes 
— Procesos de comunicacion (notificacion) y escalado 
— Recuperacion (incluidos): 
- Objetivos de Tiempo de Recuperacion (RTOs) para volver al estado de confianza 
- Investigacion y preservacion del proceso 
- Pruebas y formacion 
— Reuniones posteriores a los incidentes para documentar el analisis de las causas raiz, asi como las mejoras en las 
practicas de seguridad de la informacion para evitar futuros eventos similares. 
¢ Documentacion de los incidentes y cierre 


Esta politica esta dirigida a las correspondientes unidades de negocio y a los empleados clave. Las actualizaciones y 
revalidacion deberian involucrar a la funcion de seguridad de la informacion. Toda politica nueva o actualizada deberia 
distribuirse a los empleados clave. 


A.4 Politicas Especificas de Seguridad de la Informacion Dirigidas por 
Otras Funciones Dentro de la Empresa 


Esta seccion trata sobre las politicas que son relevantes en un contexto de seguridad de la informacion, pero que no 
estan desarrolladas o no pertenecen a la funcion de seguridad de la informacion. No obstante, para estas politicas, 
se requiere la opinion de la funcion de seguridad de la informacion. En la figura 23, se describe un posible alcance 
relevante para la funcion de seguridad de la informacion. 


Figura 23—Politicas Especificas de Seguridad de la Informacion Dirigidas por Otras Funciones 
Dentro de la Organizacion: Alcance 


| Politica = Alcance para la Funcion de Seguridad de la Informacion 


Politica de continuidad de e Analisis de impacto en el negocio (BIA) 

negocio y recuperacion de e Planes de contingencia de negocio con la recuperacién contrastada 

desastres ¢ Requisitos de recuperacién para los sistemas criticos 
¢ Umbrales definidos y disparadores para contingencias y escalado de incidentes 
¢ Plan de recuperacion de desastres (DRP) 
¢ Formacidn y pruebas 


Politica de gestion de activos | ¢ Clasificacién de la informacion 
Propiedad de la informacion 
° Clasificacién y propiedad de los sistemas 
© Utilizacion y priorizacion de recursos 
° Gestion del ciclo de vida de activos 
¢ Medidas de proteccidn de activos 
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Figura 23—Politicas Especificas de Seguridad de la Informacion Dirigidas por Otras Funciones 
Dentro de la Organizacion: Alcance (cont.) 


| Politica = Alcance para la Funcion de Seguridad de Ia Informacion 


Reglas de conducta ¢ Uso y comportamiento apropiados en el trabajo: 
(uso apropiado) — Expectativa de privacidad 
— Uso de los sistemas y activos de la empresa 
— Internet 
— Email 
— Mensgjeria instantanea 
— Acceso remoto 
— Uso de dispositivos moviles y camaras 
— Utilizacion de impresora, escaner y fax 
— Uso de ordenadores particulares para actividades corporativas 
¢ Uso y comportamiento apropiados fuera de las instalaciones: 
— Redes sociales 
— Bitacoras personales 


Politica de adquisicién, © Seguridad de la informaci6n en el proceso de ciclo de vida 
desarrollo y mantenimiento de | © Seguridad de la informacidn en el proceso de definicién de los requisitos 
de sistemas de informacién Seguridad de la informacidn en los procesos de compra/adquisicién 
 Practicas de programacion segura 
¢ Integracion de la seguridad de la informacion con la gestién de cambios y configuraciones 


Politica de gestion de Gestion de contratos: 
proveedores — Términos y condiciones referentes a la seguridad de la informacién. 
— Evaluacion de la seguridad de la informacion 
— Supervision de los contratos para el cumplimiento de la seguridad de la informacion 


Politica de gestion de las ° Disefio de arquitecturas y aplicaciones referentes a la seguridad de la informacién de TI: 
comunicaciones y las — Comité Directivo 
operaciones — Normas 
— Directrices 
© ANS: 
— Operaciones internas 
— Operaciones externas 
© Procedimientos operativos de seguridad de Informacion de TI 


Politica de cumplimiento Proceso de evaluacién del cumplimiento de la seguridad de la informaci6n de TI: 

— Regulatoria 
— Contractual 
— Corporativa 

¢ Desarrollo de métricas 

 Repositorios de evaluacion: 
— Audiencia 
— Contenido 
— Estructura 
— Seguimiento 


Politica de gestion de riesgos | © Plan de gestion del riesgo corporativo: 
—Alcance 
— Roles y responsabilidades 
— Metodologias 
— Técnicas y herramientas 
— Procesos del repositorio 
¢ Perfil de riesgo de la informacion 
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Los detalles de todos los procesos especificos de la seguridad de la informacién, de acuerdo 
con el modelo de procesos descrito en la secci6n II, se incluyen en COBIT 5 para Seguridad 


de la Informacion (véase la figura 24). 
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Figura 24—Modelo de Referencia de Procesos de COBIT 5 


Procesos de Gobierno de TI Empresarial 


Evaluar, Orientar y Supervisar 


EDM01 Asegurar 
el Establecimiento 
y Mantenimiento del 
Marco de Gobierno 


EDMO02 Asegurar la 
Entrega de Beneficios 


Alinear, Planificar y Organizar 


APOO1 Gestionar el 
Marco de Gestién 
de Tl 


AP002 Gestionar 
la Estrategia 


AP009 Gestionar los 
Acuerdos de Servicio 


AP008 Gestionar 
las Relaciones 


Construir, Adquirir e Implementar 


BAIO1 Gestionar 
los Programas 
y Proyectos 


BAI02 Gestionar 
la Definicion 
de Requisitos 


BAIO8 Gestionar 
el Conocimiento 


BAIO9 Gestionar 
los Activos 


Entregar, dar Servicio y Soporte 


DSS02 Gestionar 
las Peticiones 
y los Incidentes 
del Servicio 


DSSO01 Gestionar 
las Operaciones 


APO003 Gestionar 
la Arquitectura 
Empresarial 


APO10 Gestionar 
los Proveedores 


BAIO3 Gestionar la 
Identificacion y la 
Construccion 
de Soluciones 


BAIO10 Gestionar 
la Configuracién 


DSSO3 Gestionar 
los Problemas 


EDM03 Asegurar la 


Optimizacion 
del Riesgo 


AP004 Gestionar 
la Innovacion 


APO11 Gestionar 
la Calidad 


BAI04 Gestionar 
la Disponibilidad 
y la Capacidad 


DSS04 Gestionar 
la Continuidad 


EDM04 Asegurar la 
Optimizacién 
de los Recursos 


AP005 Gestionar 
Portafolio 


APO12 Gestionar 
el Riesgo 


BAIO5 Gestionar 
la Introduccién 
de Cambios 
Organizativos 


DSSO05 Gestionar 
los Servicios 
de Seguridad 


AP006 Gestionar 
el Presupuesto y 
los Costes 


APO013 Gestionar 
la Seguridad 


BAIO6 Gestionar 
los Cambios 


DSSO06 Gestionar 
los Controles de los 
Procesos del Negocio 


EDMO5 Asegurar la 
Transparencia hacia 
las Partes Interesadas 


AP007 Gestionar lo: 


Supervisar, 
Evaluar 
5 y Valorar 


Recursos Humanos 


BAIO7 Gestionar 
la Aceptacion 
del Cambio 
y de la Transici6n 


Procesos para la Gestion de la Tl Empresarial 


MEAO01 Supervisar, 
Evaluar y Valorar 
Rendimiento 
y Conformidad 


MEAO2 Supervisar, 
Evaluar y Valorar 
el Sistema 
de Control Interno 


MEAO3 Supervisar, 
Evaluar y Valorar 
la Conformidad con los 
Requerimientos Externos 
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Pagina dejada en blanco intencionadamente 
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B.1 Evacuar, ORIENTAR Y SUPERVISAR (EDM) 


01 


02 


03 


04 


05 


Asegurar el establecimiento y mantenimiento del marco de referencia de gobierno. 
Asegurar la entrega de beneficios. 

Asegurar la optimizacion del riesgo. 

Asegurar la optimizacion de recursos. 


Asegurar la transparencia hacia las partes interesadas. 
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Area: Gobierno 
EDM01 Asegurar el establecimiento y mantenimiento del marco de referencia de gobierno | Dominio: Evaluar, Orientar y Supervisar 


Descripcién del Proceso de COBIT 5 
Analiza y articula los requerimientos para el gobierno de TI de la empresa y pone en marcha y mantiene efectivas las estructuras, procesos y practicas 
facilitadores, con claridad de las responsabilidades y la autoridad para alcanzar la mision, las metas y objetivos de la empresa. 


Declaracion del Propdsito del Proceso de COBIT 5 

Proporcionar un enfoque consistente, integrado y alineado con el enfoque del gobierno de la empresa. Para garantizar que las decisiones relativas 
a Tl se han adoptado en linea con las estrategias y objetivos de la empresa, garantizando la supervision de los procesos de manera efectiva y 
transparentemente, el cumplimiento con los requerimientos regulatorios y legales y que se han alcanzado los requerimientos de gobierno de los 
miembros del Consejo de Administracién. 


EDMO01 Metas y métricas del proceso especificas de seguridad 


Metas del proceso especificas de seguridad Métricas relacionadas 


1. El sistema de gobierno de seguridad de la informacidn esta integrado en | ¢ Numero de procesos de negocio y de TI en los que la seguridad de la 
la empresa. informacion esta integrada 
¢ Porcentaje de procesos y practicas con clara trazabilidad a los principios 
¢ Numero de brechas de seguridad de la informacion relativas a no 
conformidades con las directrices de comportamiento ético y profesional 


1. Se obtiene garantia sobre el sistema de gobierno de la seguridad de la_| © Frecuencia de revisiones independientes del gobierno de la seguridad 
informacion. de la informacion 
e Frecuencia de los informes sobre el gobierno de la seguridad de la 
informacién al comité ejecutivo y al consejo de administracién 
¢ Numero de auditorias y revisiones internas/externas 
¢ Numero de no-conformidades 


EDM01 Practicas, Entradas/Salidas y Actividades del Proceso especificas de Seguridad 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 


EDM01.01 Evaluar el sistema de gobierno. Fuera del Factores internos Principios que rigen EDM01.02 
Identificar y comprometerse continuamente con las ambito de y externos del la seguridad de la APO01.01 
partes interesadas de la empresa, documentar la COBIT 5 para entorno (obligaciones informacion AP001.03 
comprension de los requerimientos y realizar una Seguridad de la | legales, regulatorias APO01.04 
estimacion del actual y futuro disefo del gobierno de TI | Informacién y contractuales) y APO02.01 
de la empresa. tendencias APO02.05 
APO12.03 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


1. Analizar e identificar los factores del entorno internos y externos (obligaciones legales, regulatorias y contractuales) y las tendencias en el entorno del 
negocio que pueden influir en el disefio del gobierno de la seguridad de la informacion. 


2. Evaluar el grado en el que la seguridad de la informacién cumple con las necesidades de negocio y regulatorias/cumplimiento. 
3. Articular los principios que guiaran el disefio de los catalizadores de la seguridad de la informacidn y promoveran un entorno positivo de seguridad. 
4. Comprender la cultura empresarial de la toma de decisiones y determinar el modelo dptimo de toma de decisiones para seguridad de la informacion. 


(Adicionales a las Entradas de COBIT 5) 


Practica de Gobierno 


EDM01.02 Orientar el sistema de gobierno. EDMO01.01 Principios que rigen Cultura y entorno positivo | Interno 
Informar a los lideres y obtener su apoyo, su aceptacion la seguridad de la de seguridad de la 


y su compromiso. Guiar las estructuras, procesos y informacion informacion 


practicas para el gobierno de TI en linea con los ; ; 
principios, modelos para la toma de decisiones y niveles pnts pir al ae 
de autoridad disehados para el gobierno. Definir la 

informacion necesaria para una toma de decisiones 


informadas. 

Actividades especificas de seguridad (Adicionales a las Actividades de COBIT 5) 
1. Obtener el compromiso de Ia alta direccién con la seguridad de la informacion y la gestion de riesgos de la informacion. 
2. Asignar una funcién de seguridad de la informacién de alcance global dentro de la empresa. 


3. Asignar un comité de direccién de seguridad de la informacion (ISSC). 


4. Disponer procedimientos jerarquicos de notificacién y de escalado de decisiones. 
5. Alinear la estrategia de seguridad de la informacion con la estrategia del negocio. 
6. Fomentar un entorno y cultura positivos de seguridad de la informacion. 
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COBIT®@ para Securipap DE LA INFORMACION 


EDM01 Practicas, Entradas/Salidas y Actividades del Proceso especificas de Seguridad (cont.) 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 


EDM01.03 Supervisar el sistema de gobierno. Fuera del Legislacion y regulacion Evaluacion de Interno 
Supervisar la ejecucién y la efectividad del gobierno de | ambito de relacionada con la cumplimiento del sistema 

TI de la empresa. Analizar si el sistema de gobierno y los | COBIT 5 para seguridad de la informacion | de gobierno 

mecanismos implementados (incluyendo estructuras, Seguridad de la 

principios y procesos) estan operando de forma efectiva | Informacion 

y proporcionan una supervision apropiada de TI. 


Actividades especificas de seguridad (Adicionales a las Actividades de COBIT 5) 


1. Supervisar los mecanismos ordinarios y rutinarios para garantizar que el uso de los sistemas de medida de la seguridad de la informacién cumplen 
con la legislacion y regulacion relacionada con la seguridad de la informacion. Analizar la totalidad de las implicaciones del cambiante contexto de las 
amenazas. 


Para mas informacion relacionada con otros catalizadores afines, por favor consulte: 
e Apéndice D. Guia Detallada: Catalizador de Cultura, Etica y Comportamiento 
¢ Apéndice G. Guia Detallada: Catalizador de Personas, Habilidades y Competencias, G1. Gobierno de la seguridad de la informacion 





72 


APENDICE B 
GuiA DETALLADA: CATALIZADOR DE PROCESOS 


Area: Gobierno 
EDMO02 Asegurar la Entrega de Beneficios Dominio: Evaluar, Orientar y Supervisar 


Descripcién del Proceso de COBIT 5 
Optimizar la contribuci6n al valor del negocio desde los procesos de negocio, de los servicios TI y activos de TI resultado de la inversion hecha por Tl a 
unos costes aceptables 


Declaracion del Propdsito del Proceso de COBIT 5 
Asegurar un valor 6ptimo de las iniciativas de Tl, servicios y activos disponibles; una entrega coste eficiente de los servicios y soluciones y una vision 
confiable y precisa de los costes y de los beneficios probables de manera que las necesidades del negocio sean soportadas efectiva y eficientemente. 


EDM02 Metas y Meétricas del Proceso especificas de Seguridad 


Metas del Proceso especificas de Seguridad Métricas Relacionadas 


1. Los beneficios, costes y riesgos de las inversiones en seguridad | © Porcentaje de reduccidn del riesgo frente a desviacion del presupuesto 
de la informacion son equilibradas y gestionadas y contribuyen (presupuestado frente a proyeccién) 
en su valor 6ptimo. © Nivel de satisfaccion de las partes interesadas con las medidas relativas a 
seguridad de la informacion existentes, basado en encuestas 


EDMO02 Practicas, Entradas/Salidas y Actividades del Proceso especificas de Seguridad 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 


EDM02.01 Evaluar la optimizacion de valor. Fuera del Evaluacién del Portafolio actualizado Interno 
Evaluar continuamente las inversiones, servicios | ambito de alineamiento estratégico 

y activos del portafolio de Tl para determinar COBIT 5 para 

la probabilidad de alcanzar los objetivos de la Seguridad de la 

empresa y aportar valor a un coste razonable. Informacion 

Identificar y juzgar cualquier cambio de directrices 

que necesite ser comunicado a la direccién 

ejecutiva para optimizar la creacion de valor. 


Actividades especificas de Seguridad (Ademas de las Actividades de COBIT 5) 


1. Identificar y registrar los requisitos de las partes interesadas (tales como accionistas, reguladores, auditores y clientes) para proteger sus intereses y 
aportar valor a través de la actividad de seguridad de la informacion. Establecer directrices en consonancia con lo anterior. 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 


EDM02.02 Orientar la optimizacion del valor. | Fuera del Tipos y criterios de Tipos y criterios de Interno 
Orientar los principios y las practicas de gestién | ambito de inversion inversion actualizados 

de valor para posibilitar la materializacion del COBIT 5 para 

valor dptimo de las inversiones habilitadas por Tl | Seguridad de la 

a lo largo de todo su ciclo de vida econdmico. Informacion 


Actividades especificas de Seguridad (Ademas de las Actividades de COBIT 5) 


1. Establecer un método para demostrar el valor de la seguridad de la informacion (incluyendo la definicién y recoleccidn de datos relevantes) para 
asegurar el uso eficiente de los activos existentes relacionados con la seguridad de la informacion. 


2. Asegurar el uso de medidas financieras y no financieras para describir el valor aportado por las iniciativas de seguridad de la informacién. 
3. Usar métodos enfocados al negocio para la comunicacién del valor aportado por las iniciativas de seguridad de la informacion. 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 


EDM02.03 Supervisar la optimizacion de valor. Retroalimentacion sobre Interno 
Supervisar los indicadores clave y sus métricas el valor aportado por las 

para determinar el grado en que el negocio esta iniciativas de seguridad de 
obteniendo el valor y los beneficios esperados la informacion 

de los servicios e inversiones habilitadas por 

TI. Identificar los problemas significativos y 

considerar las acciones correctivas. 


Actividades especificas de Seguridad (Ademas de las Actividades de COBIT 5) 


1. Seguir los resultados de las iniciativas de seguridad de la informacion y compararlos con las expectativas para asegurar la entrega de valor frente a 
los objetivos del negocio. 


Para mas informacion sobre los catalizadores relacionados, consulte: 
¢ Seccion Il, 6. Catalizador: Informacion 6.3. Partes interesadas en la Informacion 
e Apéndice E. Guia Detallada: Catalizador de Informacion 
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APENDICE B 
GuiA DETALLADA: CATALIZADOR DE PROCESOS 


Area: Gobierno 


EDMO03 Asegurar la Optimizaci6n del Riesgo Dominio: Evaluar, Orientar y Supervisar 


Descripcion del Proceso de COBIT 5 
Asegurar que el apetito y la tolerancia al riesgo de la empresa son entendidos, articulados y comunicados y que el riesgo para el valor de la empresa 
relacionado con el uso de las TI es identificado y gestionado. 


Declaracion del Propdsito del Proceso de COBIT 5 
Asegurar que los riesgos relacionados con TI de la empresa no exceden los niveles de tolerancia 0 aversion al riesgo, que el impacto de los riesgos de TI 
en el valor de la empresa se identifica y se gestiona y que el potencial fallo en el cumplimiento se reduce al minimo 


EDMO03 Metas y Metricas del Proceso especificas de Seguridad 


Metas del Proceso especificas de Seguridad Métricas Relacionadas 


1. La gestion del riesgo asociado a la informaci6n forma parte de la ¢ Porcentaje de riesgo de seguridad de la informacion relacionado con 
gestion general de los riesgos corporativos (ERM). riesgo del negocio 
¢ Porcentaje de riesgo de negocio eficazmente mitigado con controles de 
seguridad de la informacion 


EDMO03 Practicas, Entradas/Salidas y Actividades del Proceso especificas de Seguridad 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 
| Desde | ———Descripcién—|_—Descripcién ~—|_—Hacia_—| 


Fuera del e Indicadores clave del Alineamiento de los KRis de | EDM03.02 
ambito de riesgo de la empresa la empresa con los KRis de 
COBIT 5 para (KRIs) seguridad de la informacion 


Senuiiad dela) & ibe a pouhdeitbly Nivel aceptable del riesgo de | EDM03.02 
g P seguridad de la informacién | EDM03.03 


Informacion 
Actividades especificas de Seguridad (Ademas de las Actividades de COBIT 5) 


Practica de Gobierno 


EDMO03.01 Evaluar la gestion de riesgos. 

Examinar y evaluar continuamente el efecto del riesgo 
sobre el uso actual y futuro de las TI en la empresa. 
Considerar si el apetito de riesgo de la empresa es 
apropiado y si el riesgo sobre el valor de la empresa 
relacionado con el uso de Tl es identificado y gestionado. 


1. Determinar el apetito de riesgo corporativo al nivel del consejo de administracién. 
2. Medir el nivel de integracién de la gestion del riesgo de la informacidn con el modelo general de ERM. 


Entradas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) 


Desde Descripcion 


Salidas especificas de Seguridad 
(Adicionales a las Salidas de COBIT 5) 


Descripcion | Hacia__ 


Practica de Gobierno 
Interno 


EDMO03.02 Orientar la gestion de riesgos. 

Orientar el establecimiento de practicas de gestion de 
riesgos para proporcionar una seguridad razonable 
de que son apropiadas para asegurar que el riesgo Tl 
actual no excede el apetito de riesgo del consejo de 


Politicas de gestion del 
riesgo actualizadas 


EDMO03.01 ¢ Alineamiento de los KRIs 
de la empresa con los 
KRIs de seguridad de la 
informacion 
Nivel aceptable del 
administracién. riesgo de seguridad de 
la informacion 
Actividades especificas de Seguridad (Ademas de las Actividades de COBIT 5) 
1. Integrar la gestion del riesgo de la informacion con el modelo general de ERM. 


Entradas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) 


Salidas especificas de Seguridad 
(Adicionales a las Salidas de COBIT 5) 


Descripcion 


Interno 


Practica de Gobierno 


EDM03.03 Supervisar la gestion de riesgos. 
Supervisar los objetivos y las métricas clave de los 
procesos de gestion de riesgo y establecer cémo las 
desviaciones 0 los problemas seran identificados, 
seguidos e informados para su resolucion. 


Actividades especificas de Seguridad (Ademas de las Actividades de COBIT 5) 


1. Supervisar el perfil del riesgo de la informacion de la compania o el apetito de riesgo, para conseguir un equilibrio dptimo entre riesgos y 
oportunidades de negocio. 


2. Incluir los resultados de los procesos de gestion del riesgo de la informacién como entradas para el cuadro de mando de riesgos general de negocio. 


Para mas informacion sobre los catalizadores relacionados, consulte: 
e Apéndice C. Guia Detallada: Catalizador de Estructuras Organizativas, C.4. Comité de Gestion de Riesgo Corporativo 
e Apéndice G. Guia Detallada: Catalizador de Personas, Habilidades y Competencias, G.3. Gestion del Riesgo de la Informacion 
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APENDICE B 
GuiA DETALLADA: CATALIZADOR DE PROCESOS 


Area: Gobierno 
EDM04 Asegurar la Optimizacién de Recursos Dominio: Evaluar, Orientar y Supervisar 


Descripcion del Proceso de COBIT 5 
Asegurar que las adecuadas y suficientes capacidades relacionadas con las TI (personas, procesos y tecnologias) estan disponibles para soportar 
eficazmente los objetivos de la empresa a un coste dptimo. 


Declaracion del Propdsito del Proceso de COBIT 5 
Asegurar que las necesidades de recursos de la empresa son cubiertas de un modo optimo, que el coste TI es optimizado y que con ello se incrementa 
la probabilidad de la obtencion de beneficios y la preparacion para cambios futuros. 


EDM04 Metas y Metricas del Proceso especificas de Seguridad 


Metas del Proceso especificas de Seguridad Métricas Relacionadas 


1. Los recursos de seguridad de la informacion son optimizados. ¢ Estudio comparativo del gasto en seguridad de la informacion en 
relacion a afos anteriores y/u organizaciones similares 0 buenas 
practicas del sector. 


2. Los recursos de la seguridad de la informacion estan alineados con los | © Cuantia de la desviacién respecto al presupuesto para seguridad de la 
requisitos del negocio. informacion 
¢ Porcentaje de reutilizacién de soluciones de seguridad de la informacion 


EDM04 Practicas, Entradas/Salidas y Actividades del Proceso especificas de Seguridad 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 


EDM04.01 Evaluar la gestion de recursos. Fuera del Plan de recursos aprobado | Recursos de seguridad Interno 
Examinar y evaluar continuamente la necesidad actual y | ambito de de la informacion 

futura de los recursos relacionados con Tl, las opciones | COBIT 5 para actualizados 

para la asignacién de recursos (incluyendo estrategias | Seguridad de la 

de aprovisionamiento) y los principios de asignacién Informacion 

y gestion para cumplir de manera optima con las 

necesidades de la empresa. 


Actividades especificas de Seguridad (Ademas de las Actividades de COBIT 5) 


1. Evaluar la eficacia de los recursos de seguridad de la informacion en términos de suministro, formacion, concienciacién y competencias de los 
recursos necesarios en comparacién con las necesidades del negocio. 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 
Practica de Gobierno Descripcion 


EDM04.02 Orientar la gestion de recursos. Fuera del Asignacion de Recursos de seguridad Interno 
Asegurar la adopcidn de principios de gestion de ambito de responsabilidades para la | de la informacion 
recursos para permitir un uso optimo de los recursos de | COBIT 5 para gestion de recursos actualizados 
Tl a lo largo de su completo ciclo de vida econémica. Seguridad de la 
Informacion 


Actividades especificas de Seguridad (Ademas de las Actividades de COBIT 5) 


1. Asegurar que la gestidn de los recursos de seguridad de la informacién esta alineada con las necesidades del negocio. 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 


Practica de Gobierno Descripcion 


EDM04.03 Supervisar la gestion de recursos. Acciones correctivas para | Interno 
Supervisar los objetivos y métricas clave de los solventar las desviaciones 

procesos de gestion de recursos y establecer como en la gestion de los 

seran identificados, seguidos e informados para su recursos 

resoluci6n las desviaciones 0 los problemas. 


Actividades especificas de Seguridad (Ademas de las Actividades de COBIT 5) 


1. Medir la eficacia, eficiencia y capacidad de los recursos de seguridad de la informacion respecto a las necesidades del negocio. 


Para mas informacion sobre los catalizadores relacionados, consulte: 
e Apéndice G. Guia Detallada: Catalizador de Personas, Habilidades y Competencias 
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APENDICE B 
GuiA DETALLADA: CATALIZADOR DE PROCESOS 


Area: Gobierno 
EDMO05 Asegurar la Transparencia hacia las Partes Interesadas Dominio: Evaluar, Orientar y Supervisar 


Descripcion del Proceso de COBIT 5 
Asegurar que la medicion y la elaboracion de informes en cuanto a conformidad y desempeno de TI de la empresa son transparentes, con aprobacién 
por parte de las partes interesadas de las metas, las métricas y las acciones correctivas necesarias. 


Declaracion del Propdsito del Proceso de COBIT 5 

Asegurar que la comunicacion con las partes interesadas sea efectiva y oportuna y que se ha establecido una base para la elaboracion de informes con 
el fin de aumentar el desempefio, identificar areas susceptibles de mejora y confirmar que las estrategias y los objetivos relacionados con TI concuerdan 
con la estrategia corporativa. 


EDMO05 Metas y Metricas del Proceso especificas de Seguridad 

Metas del Proceso especificas de Seguridad Métricas Relacionadas 

1. Se ha establecido un protocolo informativo completo, oportuno y preciso | ¢ Porcentaje de informes entregados dentro del plazo previsto. 
sobre la seguridad de la informacion.  Porcentaje de informes con datos validados. 


2. Las partes interesadas se encuentran informadas de la situacion Grado de satisfaccion de las partes interesadas con el protocolo 
actual de la seguridad y de los riesgos de la informacion de toda la informativo sobre la seguridad de la informacidn (oportuno, completo, 
organizacion. relevante, fiable, preciso, etc.) y su frecuencia, basado en encuestas. 


EDM05 Practicas, Entradas /Salidas y Actividades del Proceso especificas de Seguridad 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 


EDM05.01 Evaluar los requisitos de elaboracion de —_| Fuera del Evaluacion de los Requisitos de elaboracién | Interno 
informes de las partes interesadas. ambito de requisitos corporativos de | de informes y canales 

Examinar y juzgar continuamente los requisitos COBIT 5 para elaboracion de informes de comunicacién 

actuales y futuros de comunicacién con las partes Seguridad de la de Seguridad de la 

interesadas y de la elaboracion de informes, incluyendo | Informacion Informacion 

tanto los requisitos obligatorios (p.ej. de regulacién) 

de elaboracion de informes, como la comunicacion 

a otros interesados. Establecer los principios de la 

comunicaci6n. 


Actividades especificas de Seguridad (Ademas de las Actividades de COBIT 5) 
1. Determinar la audiencia, incluyendo individuos y grupos internos o externos, para la comunicacién y elaboracidn de informes. 


2. Identificar los requisitos para la elaboracidn de informes de seguridad de la informacidn a las partes interesadas (p.ej., qué informacion es requerida, 
cuando es requerida y cdmo es presentada). 


3. Identificar los medios y canales para comunicar los asuntos relativos a la Seguridad de la Informacion. 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 


EDM05.02 Orientar la comunicacion con las partes Informes de estado Interno 
interesadas y la elaboracion de informes. de la Seguridad de la 

Garantizar el establecimiento de una comunicacion Informacion 

y una elaboracién de informes eficaces, incluyendo 

mecanismos para asegurar la calidad y la completitud 

de la informacion, vigilar la elaboracion obligatoria de 

informes y crear una estrategia de comunicacion con las 

partes interesadas. 


Actividades especificas de Seguridad (Ademas de las Actividades de COBIT 5) 
1. Priorizar la notificacién de problemas de seguridad de la informacién a las partes interesadas. 


2. Realizar auditorias internas y externas para evaluar la eficacia del programa de gobierno de la seguridad de la informacion. 


3. Elaborar informes de estado de la seguridad de la informacion de forma regular para las partes interesadas que incluyan informaci6n de las 
actividades de seguridad, desempefio, logros, perfiles de riesgo, beneficios de negocio, temas ‘calientes’ (p.ej. computacidn en la nube, productos de 
consumo) riesgos destacados (incluyendo cumplimiento y auditoria) e insuficiencias de capacidad. 
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COBIT®@ para Securipan DE LA INFORMACION 


EDMO05 Practicas, Entradas /Salidas y Actividades del Proceso especificas de Seguridad (cont.) 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 


Practica de Gobierno 


EDM05.03 Supervisar la comunicacion con las Supervision y elaboracién | Interno 
partes interesadas. de informes de Seguridad 
Supervisar la eficacia de la comunicaci6n con las partes de la Informacion 

interesadas. Evaluar los mecanismos para asegurar 

la precision, la fiabilidad y la eficacia y determinar si 

se estan cumpliendo los requisitos de los diferentes 

interesados. 


Actividades especificas de Seguridad (Ademas a las Actividades de COBIT 5) 


1. Definir la supervision y elaboracion de informes de seguridad de la informacion (p.¢j., utilizando indicadores clave de desempefio [KPIs] para la 
seguridad de la informacion y la gestién de riesgos de la informacion que estén basados en métricas y medidas del dominio MEA) 


Para mas informacion sobre catalizadores relacionados, por favor consultar: 
 Seccion Il, 6. Catalizador: Informacion, 6.3.Informacidn a las partes interesadas 
e Apéndice E. Guia Detallada: Catalizador de Informacion 
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B.2 ALINEAR, PLANIFICAR Y ORGANIZAR (APO) 
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APENDICE B 
Guid DETALLADA: CATALIZADOR DE PROCESOS 
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Gestionar el marco de gestion de TI. 
Gestionar la estrategia. 

Gestionar la arquitectura empresarial. 
Gestionar la innovacion. 

Gestionar el portafolio. 

Gestionar el presupuesto y los costes. 
Gestionar los recursos humanos. 
Gestionar las relaciones. 

Gestionar los acuerdos de servicio. 
Gestionar los proveedores. 

Gestionar la calidad. 

Gestionar el riesgo. 


Gestionar la seguridad. 
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APENDICE B 
GuiA DETALLADA: CATALIZADOR DE PROCESOS 


Area: Gestion 
APO01 Gestionar el Marco de Gestion de TI Dominio: Alinear, Planificar y Organizar 
Descripcién del Proceso de COBIT 5 
Aclarar y mantener el gobierno de la mision y la visién corporativa de TI. Implementar y mantener mecanismos y autoridades para la gestion de la 
informacion y el uso de TI en la empresa para apoyar los objetivos de gobierno en consonancia con las politicas y los principios rectores. 


Declaracion del Propdsito del Proceso de COBIT 5 
Proporcionar un enfoque de gestidn consistente que permita cumplir los requisitos de gobierno corporativo e incluya procesos de gestion, estructuras, 
roles y responsabilidades organizativos, actividades fiables y reproducibles y habilidades y competencias. 


APOO01 Metas y Métricas del Proceso especificas de Seguridad 


Metas del Proceso especificas de Seguridad Métricas Relacionadas 


1. Se ha establecido y comunicado eficazmente el alineamiento de la ¢ Porcentaje de actividades de apoyo al alineamiento dentro del portafolio 
seguridad de la informacion con los marcos de Tl y de negocio que de la estrategia de seguridad de la informaci6n que resultan alineadas 
operan en la empresa. con la estrategia de negocio. 


APO01 Practicas, Entradas/Salidas y Actividades del Proceso especificas de Seguridad 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 


Practica de Gestion Desde Descripcion 


APO001.01 Definir la estructura organizativa. EDMO01.01 Principios que rigen Estructura y mandato del | Interna 
Establecer una estructura organizativa interna y extensa la seguridad de la ISSC 
que refleje las necesidades del negocio y las prioridades informacion 

de TI. Implementar las estructuras de direccién 
requeridas (p. ej., comités) para permitir que la toma de 
decisiones de gestién se lleve a cabo de la forma mas 
eficaz y eficiente posible. 
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Fuera del dmbito | ¢ Estrategia de Tl 

de COBIT 5 para | ¢ Normas y directrices 
Seguridad de la de seguridad de la 
Informacion informacion 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Alinear la organizacion relativa a la seguridad de la informacion con los modelos organizativos de arquitectura de empresa. 
1. Establecer un ISSC (0 equivalente). 
1. Definir la funcién de seguridad de la informacidn, incluyendo roles internos y externos, capacidades y derechos de decision requeridos. 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 
Practica de Gestion Desde 
AP001.02 Establecer roles y responsabilidades. AP013.01 Declaracion del alcance Definicin de los roles DSS05.04 
Establecer, acordar y comunicar roles y del sistema de gestion y responsabilidades 
responsabilidades del personal de TI, asi como de otras de seguridad de la relacionados con Tl 
partes interesadas con responsabilidades en las TI informacién (SGSI) 


EeOraiavas, WUE Fetigjen palainen ba heteseales Fuera del e Regulaciones aplicables | Definiciones de los puestos | Interna 
generales del negocio y los objetivos de Tl, asi como snbitod an diractri decliractor'd idad 
la autoridad, las responsabilidades y la rendicion de wee aims SNeGu EGS fe EEC COr GG Seguring) 
cuentasa el prsonalvelevante COBIT 5 para de seguridad de la de la informacion (CISO) y 
P : Seguridad de la informacion de gerente de seguridad 
Informacion de la informacién (ISM) 


Modelo del Politicas de recursos 
catalizador humanos (RR.HH.) y legal 
“Principios y 

politica” 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Establecer, acordar y comunicar los roles de CISO y de ISM (0 equivalentes). 


2. Determinar el grado en que otros roles organizativos tienen obligaciones en seguridad de la informacion y afadirlas a las descripciones de puesto 
correspondientes. 
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APO01 Practicas, Entradas/Salidas y Actividades del Proceso especificas de Seguridad (cont.) 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 


AP001.03 Mantener los catalizadores del sistema de | EDM01.01 Principios que rigen Politicas de seguridad de | EDM03.03 
gestion. la seguridad de la la informacion y afines APO07.01 


Mantener los catalizadores del sistema de gestion y del informacion APO07.06 
entorno de control para las TI de la empresa y garantizar : AP012.01 
que estan integrados y alineados con la filosofia y el pala ° dass: sae d BAIO1.01 
estilo operativo de gobierno y de gestién de la empresa. COBIT 5 para do laiinfontiacl ie BAIO1.11 
Dichos catalizadores incluyen una comunicaci6n clara Seguridad de la | © Normas y directrices BAI02.01 
de expectativas/requisitos. El sistema de gestion inoaneciin de seguridad de la BAI03.08 
deberia fomentar la cooperacién interdepartamental inionmarson BAI05.01 
y el trabajo en equipo, promover el cumplimiento y la BAIO6.01 
mejora continua y tratar las desviaciones en el proceso DSS01.02 
(incluidos los fallos). DSS02.01 
MEA01.01 
MEA02.01 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


1. Considerar el entorno interno de la empresa, incluyendo la cultura y la filosofia de la gestion, la tolerancia al riesgo, los valores éticos, el codigo de 
conducta, la rendicion de cuentas y los requisitos de seguridad de la informacion. 


Alinear, Planificar y Organizar 


2. Alinearse con las normas y cédigos de buenas practicas de seguridad de la informacién aplicables, nacionales e internacionales, y evaluar las buenas 
practicas disponibles de seguridad de la informacion. 


3. Desarrollar politicas de seguridad de la informacion y afines, teniendo en cuenta los requisitos de negocio, y los legales o regulatorios, y las 
obligaciones contractuales de seguridad, las politicas organizativas de alto nivel y el entorno interno de la empresa. 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 


APO01.04 Comunicar los objetivos y la direccion de | EDMO01.01 Principios que rigen Programa de formacion AP002.06 
gestion. la seguridad de la y concienciacion BAIO8.01 


Comunicar la sensibilizaci6n y la comprensi6n de los informacion en seguridad de la 


objetivos y la direcci6n de Tl a las partes interesadas y ae informacion 
usuarios pertinentes a lo largo de toda la empresa. AP002.06 oe ae a 


de la informacion 


DSS05.01 Politica de prevencién de 
software malicioso 

DSS05.02 Politica de seguridad de 
las comunicaciones 

DSS05.03 Politicas de seguridad para 
dispositivos de usuario 

Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Definir las expectativas en relacion a la seguridad de la informacion, incluyendo la ética y la cultura especifica de la organizacion. 


2. Desarrollar un programa de concienciacién en seguridad de la informacién. 
3. Establecer métricas para medir los comportamientos en relacion a la seguridad de la informacién. 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 


AP001.05 Optimizar la ubicacion de la funcion de TI. Definicién de la funcion APO01.06 
Posicionar la capacidad de TI en la estructura de seguridad de la 

organizativa global para reflejar un modelo de empresa informacion y su ubicacién 

acorde a la importancia de las TI en la organizacion, en la empresa 

especificamente su criticidad para la estrategia 

corporativa y el nivel de dependencia de las TI. La linea 

de dependencia del ClO debe ser proporcional a la 

importancia de las TI en la empresa. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Definir la funcion de seguridad de la informacidn y todas las actividades y los atributos pertinentes. 
2. Definir la ubicacion de la funcién de seguridad de la informacion en la empresa y obtener el acuerdo de todas las partes implicadas. 
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APENDICE B 
GuiA DETALLADA: CATALIZADOR DE PROCESOS 


APO01 Practicas, Entradas/Salidas y Actividades del Proceso especificas de Seguridad (cont.) 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 


Practica de Gestion Desde 


APO001.06 Definir la propiedad de la informacion APO01.05 Definicion de la funcién Roles y responsabilidades | APO11.01 
(datos) y de los sistemas. de seguridad de la de seguridad de la 

Definir y mantener las responsabilidades sobre la informacion y su ubicaci6n | informacion 

propiedad de la informacion (datos) y los sistemas de en la empresa Dinselriess da clagiicacion 
clasificacion de la informacidn y los sistemas y sobre su 


: DSS05.02 
informacion. decrlatos 
proteccién de acuerdo con esta clasificacion. 


Asegurar que los propietarios toman decisiones sobre la 
Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


1. Definir la propiedad de sistemas y datos al nivel de la empresa dentro de los procesos de gestién de seguridad de la informacién. 
2. Asignar custodios de seguridad de la informacion de datos en los procesos de gestion de seguridad de la informacion. 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 


AP001.07 Gestionar la mejora continua de los MEA01.04 Informes de seguridad de | « Documentaci6n sobre Interna 
procesos. la informacion y planes procesos, tecnologia 

Evaluar, planificar y ejecutar la mejora continua de los de acciones correctivas, y aplicaciones y 

procesos y su madurez, para asegurar que son capaces actualizados normalizaci6n 

de entregarse conforme a los objetivos de la empresa, e Formacién del equipo 

de gobierno, de gestion y de control. Considerar las de seguridad de la 

directrices de la implementaci6n de procesos de COBIT, informacion 


Jeziuebig A seoyiuesg eaully 


los estandares emergentes, los requerimientos de 
cumplimiento, las oportunidades de automatizacion y la 
realimentaci6n de los usuarios de los procesos, el equipo 
del proceso y otras partes interesadas. Actualizar los 
procesos y considerar el impacto sobre sus catalizadores. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


1. Considerar formas de mejorar la eficiencia y la eficacia de la funcién de seguridad de la informacion, p.ej., mediante la formacién del equipo de 
seguridad de la informacion; la documentacion de procesos, tecnologia y aplicaciones; y la normalizacién y la automatizacion del proceso. 


2. Revisar los informes (tales como los informes de auditoria y las evaluaciones de riesgo) que detallan las debilidades en los controles y procesos de 


seguridad de la informacion. 
Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 

AP001.08 Mantener el cumplimiento con las AP002.05 Estrategia de seguridad de | Evaluacién del AP002.02 
politicas y procedimientos. la informacion cumplimiento de seguridad | APO12.01 
Poner en marcha procedimientos para mantener el : de la informacion 
cumplimiento y la medici6n del funcionamiento de las AP002.06 oe de la 
politicas y otros catalizadores del marco de referencia; 


hacer cumplir las consecuencias del no cumplimiento Fuera del © Objetivos de la 
0 del desempefio inadecuado. Hacer un seguimiento de | ambito de organizacion 
las tendencias y del rendimiento y considerarlos en el COBIT 5 para e Reglas y regulaciones 
disefio futuro y la mejora del marco de control. Seguridad de la relativas a la seguridad 
Informacion de la informacion 
¢ Normas y directrices 
de seguridad de la 
informacion 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Planificar y realizar evaluaciones periddicas para determinar el cumplimiento de las politicas y procedimientos de seguridad de la informacion. 


Para mas informacion sobre los catalizadores relacionados, consulte: 
e Apéndice C. Guia Detallada: Catalizador de Estructuras Organizativas, C.1 Director de Seguridad de la Informacion (CISO), C.2. Comité de Supervisién 
de Seguridad de la Informacion (ISSC), C.3. Gerente 
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APENDICE B 
GuiA DETALLADA: CATALIZADOR DE PROCESOS 


Area: Gestion 
AP002 Gestionar la Estrategia Dominio: Alinear, Planificar y Organizar 
Descripcién del Proceso de COBIT 5 
Proporcionar una vision holistica del negocio actual y del entorno de TI, la direccion futura, y las iniciativas necesarias para migrar al entorno deseado. 
Aprovechar los bloques y componentes de la estructura empresarial, incluyendo los servicios externalizados y las capacidades relacionadas que 
permitan una respuesta agil, confiable y eficiente a los objetivos estratégicos. 


Declaracion del Propdsito del Proceso de COBIT 5 
Alinear los planes estratégicos de TI con los objetivos del negocio. Comunicar claramente los objetivos y las cuentas asociadas para que sean 
comprendidos por todos, con la identificacin de las opciones estratégicas de Tl, estructurados e integrados con los planes de negocio. 


APO02 Metas y Métricas del Proceso especificas de Seguridad 


Metas del Proceso especificas de Seguridad Métricas Relacionadas 


1. Se define y mantiene un marco de politica de seguridad de la © Numero de actualizaciones de la politica de seguridad de la informacion 
informacion. ¢ Aprobacion de la politica de seguridad de la informacion por la Direccién 


2. Existe una estrategia integral de seguridad de la informacion y esta ¢ Porcentaje de iniciativas de seguridad de la informacion completadas 
alineada con la estrategia general de la empresa y de TI. frente a las planeadas 


3. La estrategia de seguridad de la informacion es rentable, apropiada, © Porcentaje y numero de iniciativas para las que se ha calculado una 
realista, factible, orientada a la empresa y equilibrada. meétrica de valor (p.ej., el retorno de la inversion [ROI]) 
e Datos de las encuestas de satisfaccidn de los grupos de interés 
de la empresa sobre la eficacia de la estrategia de seguridad de la 
informacion 


4. La estrategia de seguridad de la informacion esta alineada con las ¢ Porcentaje de proyectos en los portafolios de proyectos de la empresa y 
metas y objetivos estratégicos de la empresa a largo plazo de TI que incluyen seguridad de la informacion 
© Porcentaje de iniciativas/proyectos de Tl en que los requisitos de 
seguridad de la informacion estan promovidos por los propietarios de 
negocio 


APO02 Practicas, Entradas/Salidas y Actividades del Proceso especificas de Seguridad 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 


AP002.01 Comprender la direcci6n de la empresa. EDMO01.01 Principios que rigen Fuentes de alto nivel APO02.02 
Considerar el entorno actual y los procesos de negocio la seguridad de la y prioridades para los 

de la empresa, asi como la estrategia y los objetivos informacion cambios 

futuros de la compafia. Tomar también en cuenta el 

entorno externo a ella (catalizadores de la industria, 

regulaciones relevantes, bases para la competencia). 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


1. Comprender como la seguridad de la informacién deberia apoyar los objetivos generales de la empresa y proteger los intereses de las partes 
implicadas teniendo en cuenta la necesidad de gestionar el riesgo de la informacion, al tiempo que se cumplen los requisitos de conformidad legal y 
regulatoria y se aporta valor a la empresa. 


2. Comprender la vigente arquitectura de empresa e identificar las deficiencias potenciales de seguridad de la informacion. 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 


AP002.02 Evaluar el entorno, capacidades y APO01.08 Evaluacion de Capacidades de seguridad } APO02.03 
rendimiento actuales. cumplimiento de de la informacion AP004.04 
Evaluar el rendimiento de las actuales capacidades la seguridad de la AP008.05 
internas de negocio y de TI, asi como el de los servicios informacion AP009.05 
externos de Tl; y desarrollar una perspectiva de la : APO11.01 
arquitectura empresarial en relacion a TI. Identificar APO? 01 lhe alto bi BAIO1.01 
los problemas que se estan experimentando y y jae anes palatcs BAIO2.01 
generar recomendaciones en las areas que pueden Canis BAI04.01 
beneficiarse de estas mejoras. Considerar los aspectos 

diferenciadores y las opciones de los proveedores de 

servicios, y el impacto financiero, los costes y beneficios 

potenciales de utilizar servicios externos. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Definir unas capacidades basicas de seguridad de la informacion. 
2. Crear criterios de seguridad de la informacion pertinentes y claros para identificar el riesgo y priorizar las deficiencias a tratar. 
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COBIT®@ para Securipan DE LA INFORMACION 


APO002 Practicas, Entradas/Salidas y Actividades del Proceso especificas de Seguridad (cont.) 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 


Practica de Gestion 
AP002.03 Definir las capacidades objetivo para TI. | APO02.02 Capacidades de seguridad | Necesidades de seguridad } APO02.04 
Definir las capacidades objetivo para el negocio y para de la informacion de la informacion en las 

Tl y los servicios de TI necesarios. Esto deberia estar ' P capacidades objetivo 

basado en el entendimiento del entorno empresarial pen ea para Tl 

y sus necesidades; en la evaluacién de los actuales 

procesos de negocio, el entorno de TI y los problemas Fuera del ambito |} Normas y regulaciones 

presentados; considerando los estandares de referencia, | de COBIT 5 para | de seguridad de la 


las mejores practicas y las tecnologias emergentes Seguridad de la_| informacién 
validadas 0 propuestas de innovacién. Informacion 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Garantizar que los requisitos de seguridad de la informacidn se incluyen en la definicién de las capacidades objetivo para TI. 
2. Definir el estado objetivo para la seguridad de la informacion. 


3. Definir y consensuar el impacto de los requisitos de seguridad de la informacion en la arquitectura de la empresa, considerando a las partes 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 


Practica de Gestion Desde Descripcion Descripcion 


AP002.04 Realizar un andlisis de las deficiencias. AP002.03 Necesidades de seguridad } Analisis comparativo de las | APO03.01 
Identificar las diferencias entre el entorno actual y de la informacion en las capacidades en seguridad 

el deseado y considerar el alineamiento de activos capacidades objetivo de la informacion 

(las capacidades que soportan los servicios) con los para Tl 


interesadas pertinentes. 


Alinear, Planificar y Organizar 


Carencias que han de AP013.02 
ser cubiertas y cambios 

requeridos para alcanzar 

la capacidad objetivo 


resultados del negocio para optimizar la inversién, y la 
utilizacién de la base de activos internos y externos. 
Considerar los factores criticos de éxito que apoyan la 
ejecucion de la estrategia. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Identificar todas las carencias que han de ser cubiertas y los cambios requeridos para lograr el entorno deseado. 
2. Realizar un andlisis comparativo de la seguridad de la informacion frente a normas del sector conocidas y fiables. 
3. Examinar el entorno actual con respecto a las regulaciones y los requisitos de cumplimiento. 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 


Practica de Gestion Descripcion 


APO002.05 Definir el plan estratégico y la hoja de ruta. | EDM01.01 Principios que rigen Estrategia de seguridad de | EDM01.02 
Crear un plan estratégico que defina, en cooperacion la seguridad de la la informacion AP001.08 


con las partes interesadas relevantes, como los informacion AP003.01 


Pasi de TI contribuiran a los abjetivos estrategicos [5973.92 Casos de negocio Hoja de ruta estratégica | BAIO5.04 
e la empresa. Incluyendo como TI apoyara el programa de seguridad de la de seguridad de la 

aprobado de inversiones, los procesos de negocio, los informacion informacion 

servicios y los activos de TI. Orientar las tecnologias 

para definir las iniciativas que se requieren para cubrir 


las diferencias, la estrategia de abastecimiento y las 
medidas que se utilizaran para supervisar el logro 
de los objetivos, para dar prioridad a las iniciativas y 
combinarlas en una hoja de ruta a alto nivel. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Definir la estrategia de seguridad de la informacion y alinearla con las estrategias de TI y de negocio y con los objetivos globales corporativos. 
2. Garantizar que la estrategia y la hoja de ruta actuales de TI tienen en consideracidn los requisitos de seguridad de la informacion. 


3. Crear un plan de accién que incluya una planificacién tentativa, interdependencias entre las iniciativas y métricas (el qué) y objetivos (el cuanto) que 
puedan relacionarse con los beneficios corporativos. 
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GuiA DETALLADA: CATALIZADOR DE PROCESOS 


APO02 Practicas, Entradas/Salidas y Actividades del Proceso especificas de Seguridad (cont.) 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 


AP002.06 Comunicar la estrategia y la direccién de | APO01.04 Programa de formacién Comunicacién de los APO01.04 
Tl. y concienciacién objetivos de seguridad de 

Crear conciencia y comprensidn del negocio y de los en seguridad de la la informacion 

objetivos y direcci6n de Tl, como se encuentra reflejada informacion ; 

en la estrategia de TI, a través de comunicaciones a las ee de la lee 
partes interesadas actuales y a los usuarios de toda la APOO 4.05 


BINpIOSe: APOO7.01 
APO07.05 
APOO7.06 
APO09.05 
APO11.01 
BAIO1.01 
BAIO1.04 
BAIO1.08 
BAIO1.11 
BAIO2.01 
BAI05.03 
BAIO5.04 
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Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


1. Definir el plan de seguridad de la informacion, identificando las consecuencias practicas para la empresa de la seguridad de la informacién. 

2. Comunicar la estrategia de seguridad de la informacion y el plan de seguridad de la informacion a la empresa y a todas las partes interesadas 
pertinentes. 

3. Dar a conocer la funcién de seguridad de la informacién dentro de la empresa, y fuera de ella si es pertinente. 


Para mas informacion sobre catalizadores relacionados, por favor consultese: 

e Apéndice E. Guia Detallada: Catalizador de Informacion, E.2. Estrategia de Seguridad de la Informacion 

e Apéndice G. Apéndice G. Guia Detallada: Catalizador de Personas, Habilidades y Competencias, G.4. Desarrollo de la Arquitectura de Seguridad de la 
Informacion 
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APENDICE B 
GuiA DETALLADA: CATALIZADOR DE PROCESOS 


Area: Gestion 
APO03 Gestionar la Arquitectura Empresarial Dominio: Alinear, Planificar y Organizar 
Descripcién del Proceso de COBIT 5 
Establecer una arquitectura comun compuesta por los procesos de negocio, la informacién, los datos, las aplicaciones y las capas de la arquitectura tecnologica 
de manera eficaz y eficiente para la realizacion de las estrategias de la empresa y de TI mediante la creacion de modelos clave y practicas que describan 
las lineas de partida y las arquitecturas objetivo. Definir los requisitos para la taxonomia, las normas, las directrices, los procedimientos, las plantillas y las 
herramientas y proporcionar un vinculo para estos componentes. Mejorar la adecuacion, aumentar la agilidad, mejorar la calidad de la informacion y generar 
ahorros de costes potenciales mediante iniciativas tales como Ia reutilizacin de bloques de componentes para los procesos de construccidn. 


Declaracion del Propdsito del Proceso de COBIT 5 
Representar a los diferentes mddulos que componen la empresa y sus interrelaciones, asi como los principios rectores de su diseno y evolucion en el 
tiempo, permitiendo una entrega estandar, sensible y eficiente de los objetivos operativos y estratégicos. 


APOO3 Metas y Métricas del Proceso especificas de Seguridad 


Metas del Proceso especificas de Seguridad Métricas Relacionadas 


1. Los requisitos de seguridad de la informacién se han incorporado a la © Numero de excepciones a los estandares de arquitectura de seguridad 
arquitectura de la empresa y se han traducido en una arquitectura de de la informacion 
seguridad formalizada. 


2. La arquitectura de seguridad de la informacién se entiende como parte | © Numero de desviaciones entre la arquitectura de seguridad de la 
de la arquitectura general de la empresa. informacion y la arquitectura de la empresa 
3. La arquitectura de seguridad de la informacion esta alineada con la Fecha de la ultima revision y/o actualizacion de los controles de 


arquitectura de la empresa y evoluciona seguin cambia ésta. seguridad de la informacion aplicados a la arquitectura de la empresa 


4. Se utilizan un marco y una metodologia de arquitectura de seguridad ¢ Porcentaje de proyectos que utilizan el marco y la metodologia de 
de la informacién para permitir la reutilizaci6n de componentes de arquitectura de seguridad de la informacion 
seguridad de la informacion entre distintas partes de la empresa. © Numero de personas formadas en el marco y la metodologia de 
seguridad de la informacién 


APO03 Practicas, Entradas/Salidas y Actividades del Proceso especificas de Seguridad 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 


Practica de Gestion Descripcién Descripcién | Hacia—| 


AP003.01 Desarrollar la vision de la arquitectura de | APO02.04 Analisis comparativo de la | ¢ Visién de arquitectura Interno 
empresa. capacidad de seguridad de | de seguridad de la 


La vision de la arquitectura proporciona una primera la informacion informacion 


arquitectura describe como las nuevas capacidades 
permitiran alcanzar las metas de la empresa y los 
objetivos estratégicos y considera las preocupaciones de 
las partes interesadas en su implementacién. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


descripcin de alto nivel de las arquitecturas de partida y . , e Propuesta de valor, 
objetivo, cubriendo los dominios de negocio, informacion, AP002.05 ae : oe de metas y métricas 
datos, aplicaciones y tecnologia. La vision de la de seguridad de la 
arquitectura proporciona al promotor la herramienta clave informacion 

para vender los beneficios de la capacidad propuesta 

alas partes interesadas de la empresa. La visién de la 


1. Definir los objetivos y requisitos de seguridad de la informacion para la arquitectura de empresa. 
2. Definir la propuesta de valor de la seguridad de la informacion asi como las metas y métricas afines. 
3. Tener en cuenta las buenas practicas del sector al construir la visi6n de la arquitectura de seguridad de la informacién. 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 


AP003.02 Definir la arquitectura de referencia. Fuera del Arquitectura de empresa Definicion de la AP003.03 
La arquitectura de referencia describe la situaci6n ambito de arquitectura deseada de la 
actual y el objetivo de la arquitectura paralos dominios | COBIT 5 para seguridad de la informacion 


negocio, informacion, datos, aplicaciones y tecnologia. fal sel 7 la Descripciones de partida de | APO13.02 
los dominios y definicién de 
la arquitectura 


Modelo de la arquitectura | DSS05.03 
de la informacion DSS05.04 
DSS05.06 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Asegurar la inclusi6n de elementos, politicas y normas de seguridad de la informacion en el repositorio de arquitectura. 


2. Asegurar que la seguridad de la informacion se encuentra integrada a lo largo de todos los dominios de la arquitectura (p. ej., negocio, informacidn, 
datos, aplicaciones, tecnologia). 
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APO003 Practicas, Entradas/Salidas y Actividades del Proceso especificas de Seguridad (cont.) 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 


AP003.03 Seleccionar las oportunidades y las AP003.02 Definicion de la Estrategia de migracion AP003.04 
soluciones. arquitectura deseada y puesta en marcha de la 

Racionalizar las desviaciones entre las arquitecturas de de seguridad de la arquitectura de seguridad 

referencia y objetivo, considerando tanto la perspectiva informacion de la informacion 

técnica como la del negocio y agrupandolas en paquetes 

de trabajo de proyecto. Integrar el proyecto con todos 

los programas de inversiones relacionados con TI 

para asegurar que las iniciativas relacionadas con la 

arquitectura estén alineadas y que, estas iniciativas, 

sean parte del cambio general en la empresa. Hacer 


de ello un esfuerzo en colaboracién con las partes 
interesadas clave de la empresa y en Tl para evaluar 

el grado de preparacién de la empresa para su 
transformacion e identificar oportunidades, soluciones y 
todas las restricciones de la implementacion. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Asegurar la inclusion de los requisitos de seguridad de la informacion cuando se analicen carencias y cuando se seleccionen soluciones para la 


empresa. 
Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 


Alinear, Planificar y Organizar 


Asegurar que el plan esta estrechamente coordinado 
para asegurar que se aporta valor y se disponen de los 
recursos necesarios para finalizar los trabajos. 


de la informacién 


AP003.04 Definir la implementacion de la AP003.03 Estrategia de Arquitectura de seguridad | Interno 
arquitectura. implementacion de la informacion y plan 

Crear un plan de implementacidn y de migracién y migracion de la de implementacion del 

viable, acorde con la cartera de proyectos y programas. arquitectura de seguridad | servicio detallados 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Alinear la seguridad de la informacidn con la arquitectura de TI. 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 


Préctica de Gestién 


AP003.05 Proveer los servicios de arquitectura Guia para la puesta en DSS01.01 
empresarial. marcha de servicios de 

La provision de los servicios de arquitectura de arquitectura de seguridad 

empresa incluye la guia y supervision de los proyectos a de la informacion 

implementar, la formalizacion de las maneras de trabajar 

mediante los contratos de arquitectura, la medicién y 

comunicacién del valor afiadido por la arquitectura y la 

supervision del cumplimiento. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Definir normas de seguridad de la informacién y disefar patrones en apoyo a la arquitectura empresarial. 


2. Asegurar que cualquier adquisicién tecnoldgica 0 actividad de cambio en el negocio incluye revisiones de seguridad de la informacion para confirmar 
que se cumplen los requisitos de seguridad de la informacién. 


Para mas informacion sobre catalizadores relacionados, constltese: 
e Apéndice E. Guia Detallada: Catalizador de Informacion, E.2. Estrategia de Seguridad de la Informacion 
¢ Apéndice G. Guia Detallada: Catalizador de Personas, Habilidades y Competencias, G.4. Desarrollo de la Arquitectura de Seguridad de la Informacion 
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APENDICE B 
GuiA DETALLADA: CATALIZADOR DE PROCESOS 


Area: Gestion 
AP004 Gestionar la Innovacién Dominio: Alinear, Planificar y Organizar 


Descripcion del Proceso de COBIT 5 

Mantener un conocimiento de la tecnologia de la informacion y las tendencias relacionadas con el servicio, identificar las oportunidades de innovacion y planificar 
la manera de beneficiarse de la innovaci6n en relacion con las necesidades del negocio. Analizar cudles son las oportunidades para la innovacién empresarial 

0 qué mejora puede crearse con las nuevas tecnologias, servicios 0 innovaciones empresariales facilitadas por Tl, asi como a través de las tecnologias ya 
existentes y por la innovacion en procesos empresariales y de TI. Influir en la planificacion estratégica y en las decisiones de la arquitectura de empresa. 


Declaracion del Proposito del Proceso de COBIT 5 
Lograr ventaja competitiva, innovacién empresarial y eficacia y eficiencia operativa mejorada mediante la explotacion de los desarrollos tecnoldgicos para la 
explotacion de la informacion. 


AP004 Metas y Métricas del Proceso especificas de Seguridad 
Metas del Proceso especificas de Seguridad Métricas Relacionadas 


1. Se promueve la innovacion dentro del programa de seguridad de la  Porcentaje del presupuesto asignado a investigacion y desarrollo en 
informacion. seguridad de la informacion 


2. Se tienen en cuenta los requisitos de seguridad de la informacion ¢ Numero de puestos que incluyen aspectos de innovacion 
cuando se habilita la innovacién. 


AP004 Security-specific Process Practices, Inputs/Outputs and Activities 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 


AP004.01 Crear un entomo favorable para la innovacién. Plan de innovacién AP004.06 
Crear un entorno que sea propicio para la innovacidn, en seguridad de la 

considerando la cultura, la gratificacion, la colaboracion, informacion 

los foros tecnolégicos y los mecanismos para promover 

y captar ideas de los empleados. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Mantener politicas y principios de seguridad de la informacién que respalden la innovacidn, al tiempo que se gestiona el riesgo de la informacion. 
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2. Establecer enlaces con la investigaci6n y otros servicios de asesoramiento en seguridad. 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 


AP004.02 Mantener un entendimiento del entorno Fuera del Investigacion externa Evaluaciones de impacto | Interna 
de la empresa. ambito de de nuevas iniciativas 

Trabajar junto a las partes interesadas relevantes COBIT 5 para en la seguridad de la 

para entender sus retos. Mantener un entendimiento Seguridad de la informacion 

adecuado de la estrategia corporativa y del entorno Informacion 

competitivo, asi como de otras restricciones de modo 

que las oportunidades habilitadas por las nuevas 

tecnologias puedan ser identificadas. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Comprender, en todo momento, los catalizadores de la seguridad de la informacion para identificar oportunidades y limitaciones de la innovacién tecnoldgica. 
2. Determinar los efectos e impacto de las innovaciones en la tecnologia, el entorno y la seguridad de la informacion. 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 


AP004.03 Supervisar y explorar el entorno tecnoldgico. | Fuera del Investigacion externa Tendencias emergentes AP008.02 
Realizar una supervision sistematica y una exploracién ambito de identificadas en seguridad 
del entorno externo a la empresa para identificar COBIT 5 para de la informacion 
tecnologias emergentes que tengan el potencial Seguridad de la 

de crear valor (por ejemplo, materializando la Informacion 

estrategia corporativa, optimizando costes, evitando la 

obsolescencia y habilitando de una mejor manera los 

procesos corporativos y de Tl). Supervisar el mercado, la 

competencia, sectores industriales y tendencias legales y 

regulatorias para poder analizar tecnologias emergentes o 

ideas innovadoras en el contexto empresarial. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Llevar a cabo investigacion y una exploracion del entorno externo para identificar tendencias emergentes en seguridad de la informacién. 
2. Fomentar la realimentacién de las partes interesadas sobre la innovacién en seguridad de la informacién. 
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AP004 Security-specific Process Practices, Inputs/Outputs and Activities (cont.) 
Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 
Practica de Gestion 
AP004.04 Evaluar el potencial de las tecnologias AP002.02 Capacidades de Evaluacién del AP004.05 
emergentes y las ideas innovadoras. la seguridad de la cumplimiento de los 
Analizar las tecnologias emergentes identificadas y/u informacion requisitos de seguridad de 
otras sugerencias de innovacién Tl. Trabajar con las : la informacién 
partes interesadas para validar los supuestos sobre el APO02.06 dali eins de la 
potencial de las nuevas tecnologias y la innovacion. 
BAIO2.01 Requisitos de seguridad de 
la informacién 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Evaluar las innovaciones identificadas en base a los catalizadores de seguridad de la informacion. 


2. Apoyar las actividades de prueba de concepto para iniciativas de innovacion, con el objetivo de asegurar la cobertura de los requisitos de seguridad 
de la informacion. Evaluar el cumplimiento de estos requisitos. 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 


AP004.05 Recomendar iniciativas apropiadas AP002.06 Plan de seguridad de la Recomendaciones Interna 
adicionales. informacion en seguridad de la 
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Evaluar y supervisar los resultados de las pruebas de re informacion a partir de los 
concepto y, si son favorables, generar recomendaciones Oe Beer hs dee resultados de la prueba de 
para mas iniciativas y obtener el soporte de las partes requisitos de seguridad de concepto 


interesadas. la informacion 
Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Proporcionar asesoramiento en seguridad de la informacidn a partir de los resultados de las pruebas de concepto de iniciativas de innovacién de Tl. 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 


AP004.06 Supervisar la implementaci6n y el uso de | APO04.01 Plan de innovacion Planes de innovacion Interno 
la innovacion. en seguridad de la ajustados 

Supervisar la implementacion y el uso de las tecnologias informacion 

emergentes durante la integracion, adopcién y durante 

todo el ciclo de vida econdmico para garantizar que se 


producen los beneficios prometidos y para identificar las 
lecciones aprendidas. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Medir los beneficios y riesgos para la seguridad durante la prueba de concepto y otras actividades de innovacion. 
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APENDICE B 
GuiA DETALLADA: CATALIZADOR DE PROCESOS 


Area: Gestion 


AP005 Gestionar el Portafolio Dominio: Alinear, Planificar y Organizar 


Descripcién del Proceso de COBIT 5 

Ejecutar el conjunto de direcciones estratégicas para la inversion alineada con la vision de la arquitectura empresarial, las caracteristicas deseadas 
de inversion, los portafolios de servicios relacionados, considerar las diferentes categorias de inversion y recursos y las restricciones de financiacion. 
Evaluar, priorizar y equilibrar programas y servicios, gestionar la demanda con los recursos y restricciones de fondos, basados en su alineamiento con 
los objetivos estratégicos asi como en su valor y riesgo corporativo. Mover los programas seleccionados al portafolio de servicios activos listos para 
ser ejecutados. Supervisar el rendimiento global del portafolio de servicios y programas, proponiendo ajustes si fuesen necesarios en respuesta al 
rendimiento de programas y servicios 0 al cambio en las prioridades corporativas. 


Declaracion del Propdsito del Proceso de COBIT 5 
Optimizar el rendimiento del portafolio global de programas en respuesta al rendimiento de programas y servicios y a las cambiantes prioridades y 
demandas corporativas. 


APOO5 Metas y Métricas del Proceso especificas de Seguridad 


Metas del Proceso especificas de Seguridad Métricas Relacionadas 


1. Las inversiones en seguridad de la informacién estan asignadas segun | ¢ Numero de casos de negocio de inversién en seguridad de la 
la tolerancia al riesgo. informacién que no realizan evaluaciones de riesgo 


2. Los cambios en el programa de seguridad de la informacion se reflejan | © Porcentaje de cambios del programa de seguridad de la informacién 
en los portafolios relevantes de servicios, activos y recursos de TI. reflejado en los portafolios relevantes 
AP005 Practicas, Entradas/Salidas y Actividades del Proceso especificas de Seguridad 
Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 
[Desde | _Descripcion | _—Desorncion «| —«Hacia—| 


Fuera del Evaluacion del riesgo Combinacién deseada de | APO05.02 
ambito de inversiones en seguridad 
de la informacion 


Practica de Gestion 


AP005.01 Establecer la combinacion deseada de 
inversiones. 


Revisar y garantizar la claridad de las estrategias y 
servicios actuales corporativos y de Tl. Definir una 
adecuada combinacién de inversiones, basada en 


COBIT 5 para 
Seguridad de la 
Informacion 


los costes, la alineacion con la estrategia y medidas 
financieras, tales como coste y retorno esperado de la 
inversion a lo largo de todo el ciclo de vida econdmico, 
grado de riesgo y tipo de beneficio para los programas 
del portafolio. Ajustar las estrategias corporativas y de Tl 
cuando sea necesario. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Definir la combinacion deseada de inversiones en seguridad de la informacion, teniendo en cuenta el riesgo para la empresa, los beneficios 


financieros y no financieros y el potencial retorno de las iniciativas. 
Salidas especificas de Seguridad 
(Adicionales a las Salidas de COBIT 5) 


Entradas especificas de Seguridad 


(Adicionales a las Entradas de COBIT 5) 
AP005.02 Determinar la disponibilidad y las fuentes | APO05.01 Combinacion deseada de | Opciones de financiacién | APO05.03 
de fondos. inversiones en seguridad 
Determinar las fuentes potenciales de fondos, las de la informacion 
diferentes opciones de financiacion y las implicaciones 
de las fuentes de financiacion sobre las expectativas de 


retorno de la inversion. 
Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


1. Revisar las posibilidades internas y externas para cubrir los recursos necesarios de seguridad de la informacion. 


Practica de Gestion 


AP005.03 Evaluar y seleccionar los programas a 
financiar. 

A partir de los requisitos de la combinacion de 
inversiones del portafolio general, evaluar y priorizar 
casos de negocio de programas y decidir sobre las 
propuestas de inversion. Asignar fondos e iniciar los 
programas. 


Programa de seguridad de | Interna 


la informacion 


AP005.02 Opciones de financiacién 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Asegurar la existencia de un programa de seguridad de la informacién. 
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COBIT®@ para Securipap dE LA INFORMACION 


AP005 Practicas, Entradas/Salidas y Actividades del Proceso especificas de Seguridad (cont.) 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 


AP005.04 Supervisar, optimizar e informar sobre el 
rendimiento del portafolio de inversion. 
Periddicamente, supervisar y optimizar, el rendimiento 
del portafolio de inversiones y de los programas 
individuales, a lo largo de todo el ciclo de vida de dichas 
inversiones. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
0. No son necesarias guias especificas sobre seguridad de la informacién para esta practica. Las actividades genéricas de COBIT 5 pueden ser utilizadas 


como guia adicional. 
Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 


AP005.05 Mantener los portafolios. 
Mantener los portafolios de programas y proyectos de 
inversion, servicios de TI y activos de TI. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
0. No son necesarias guias especificas sobre seguridad de la informacién para esta practica. Las actividades genéricas de COBIT 5 pueden ser utilizadas 


como guia adicional. 
Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 


AP005.06 Gestionar la consecucion de beneficios. Fuera del Presupuesto del programa | Perfil actualizado del Interna 
Supervisar los beneficios de proporcionar y mantener ambito de riesgo de seguridad de la 
servicios y capacidades Tl apropiadas, sobre la base del | COBIT 5 para informacion 
caso de negocio acordado en vigor. Seguridad de la 
Informacion 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


1. Proporcionar informacidn sobre el logro de la confidencialidad, la integridad y la disponibilidad de la informacidn, como entrada a la gestion de la 
consecucion de beneficios. 


2. Evaluar los cambios en el perfil de riesgo de seguridad de la informacion, para ilustrar la consecuci6n de beneficios. 


Para mas informacion acerca de los catalizadores relacionados, por favor consulta: 
e Apéndice E. Guia Detallada: Catalizador de Informacidn, E.4. Plan de Seguridad de la Informacion 
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APENDICE B 
GuiA DETALLADA: CATALIZADOR DE PROCESOS 


Area: Gestion 
APO06 Gestionar el Presupuesto y los Costes Dominio: Alinear, Planificar y Organizar 
Descripcion del Proceso de COBIT 5 
Gestionar las actividades financieras relacionadas con las TI tanto en el negocio como en las funciones de TI, abarcando presupuesto, coste y gestion 
del beneficio, y la priorizacién del gasto mediante el uso de practicas presupuestarias formales y un sistema justo y equitativo de reparto de costes a 
la empresa. Consultar a las partes interesadas para identificar y controlar los costes totales y los beneficios en el contexto de los planes estratégicos y 
tacticos de Tl, e iniciar acciones correctivas cuando sea necesario. 


Declaracion del Propdsito del Proceso de COBIT 5 

Fomentar la colaboracion entre TI y las partes interesadas de la empresa para catalizar el uso eficaz y eficiente de los recursos relacionados con las Tl y 
brindar transparencia y responsabilidad sobre el coste y valor de negocio de soluciones y servicios. Permitir a la empresa tomar decisiones informadas 
con respecto a la utilizacion de soluciones y servicios de TI. 


APOO6 Metas y Métricas del Proceso especificas de Seguridad 


Metas del Proceso especificas de Seguridad Métricas Relacionadas 


1. La asignacidn de presupuestos y costes a seguridad de la informacion  Porcentaje de alineamiento entre los recursos de TI y las iniciativas 
se prioriza de forma eficaz. importantes de control y seguridad de la informacion 
© Numero de problemas en la asignacion de recursos debidos a incidentes 
en seguridad de la informacién 
¢ Numero de solicitudes de presupuesto adicional debidas a incidentes en 
seguridad de la informacion 


APO06 Practicas, Entradas/Salidas y Actividades del Proceso especificas de Seguridad 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 


AP006.01 Gestionar las finanzas y la contabilidad. 
Establecer y mantener un método de contabilizacién 
para todos los costes, inversiones y depreciaciones 
relacionadas con las TI, como parte integral de los 
sistemas financieros empresariales y un plan de 
cuentas para administrar las inversiones y los costes 
de Tl. Capturar y asignar los costes reales, analizar las 
desviaciones entre las previsiones y los costes reales, 
e informar usando los sistemas empresariales de 
medici6n financiera. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
0. No son necesarias guias especificas sobre seguridad de la informacién para esta practica. Las actividades genéricas de COBIT 5 pueden ser utilizadas 


como guia adicional. 
Entradas especificas de Seguridad Salidas especificas de 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salida 


Seguridad 
is de COBIT 5) 


AP006.02 Priorizar la asignaci6n de recursos. Priorizacion de las APO06.03 
Implementar un proceso de toma de decisiones para iniciativas. 

priorizar la asignacién de recursos y definir las reglas 

para las inversiones discrecionales realizadas, a titulo 

individual, por las unidades de negocio. Incluir el 

uso potencial de proveedores de servicio externos y 

considerar las opciones de compra, desarrollo y alquiler. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


1. Asegurar que cuando se prioriza la asignacion de recursos, se tienen en consideracion criterios para la priorizacién acordes a los perfiles de riesgo de 
la informacion. 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 


Préctica de Gestion 


AP006.03 Crear y mantener presupuestos. AP006.02 Priorizacion de las Presupuesto para Interno 
Preparar un presupuesto que refleje las prioridades iniciativas la seguridad de la 
de inversin que apoyen los objetivos estratégicos, informacion 
tomando como base la cartera de programas habilitados 

por Tl y de servicios de TI. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Definir un presupuesto para la seguridad de la informacion. 
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APO06 Practicas, Entradas/Salidas y Actividades del Proceso especificas de Seguridad (cont.) 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 


AP006.04 Modelar y asignar costes. 

Establecer y utilizar un modelo de costes de TI basado 
en la definicion del servicio, asegurando que la 
asignacion de costes de los servicios es identificable, 
medible y predecible, para fomentar el uso responsable 
de los recursos, incluidos aquellos proporcionados 

por proveedores de servicio. Revisar y comparar 
periddicamente la idoneidad del modelo de costes/ 
prorrateo, para mantener su pertinencia y adecuacion a 
las cambiantes actividades del negocio y de TI. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
0. No son necesarias guias especificas sobre seguridad de la informacién para esta practica. Las actividades genéricas de COBIT 5 pueden ser utilizadas 


como guia adicional. 
Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 


AP006.05 Gestionar costes. 

Poner en marcha un proceso de gestién de costes que 
compare los costes reales con los presupuestos. 

Los costes deben ser supervisados y comunicados y, en 
caso de desviaciones, identificados oportunamente, asi 
como evaluado su impacto en los procesos y servicios 
empresariales. 
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Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


0. No son necesarias guias especificas sobre seguridad de la informacién para esta practica. Las actividades genéricas de COBIT 5 pueden ser utilizadas 
como guia adicional. 
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APENDICE B 
GuiA DETALLADA: CATALIZADOR DE PROCESOS 


Area: Gestion 
APO07 Gestionar los Recursos Humanos Dominio: Alinear, Planificar y Organizar 
Descripcion del Proceso de COBIT 5 
Proporcionar un enfoque estructurado para garantizar una optima estructuracion, ubicacién, capacidades de decision y habilidades de los recursos 
humanos. Esto incluye la comunicacidn de las funciones y responsabilidades definidas, la formacién y planes de desarrollo personal y las expectativas 
de desempeni, con el apoyo de gente competente y motivada. 


Declaracion del Proposito del Proceso de COBIT 5 
Optimizar las capacidades de recursos humanos para cumplir los objetivos de la empresa. 


APO07 Metas y Métricas del Proceso especificas de Seguridad 


Metas del Proceso especificas de Seguridad Métricas Relacionadas 


1. Las capacidades y procesos de recursos humanos estan alineados con | © Porcentaje de empleados a los que se proporciona una iniciacién en 
los requisitos de seguridad de la informacion. seguridad de la informacion 
¢ Tasa de rotacion en seguridad de la informacion 
¢ Tiempo de ciclo de contratacion o de incorporaci6n 
¢ Cualificaciones del personal en términos de certificaciones, formacion y 
afios de experiencia 


APO07 Practicas, Entradas/Salidas y Actividades del Proceso especificas de Seguridad 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 


APO007.01 Mantener la dotacién de personal AP001.03 Politicas de seguridad Requisitos de seguridad Interna 
suficiente y adecuada. de la informacion y otras | de la informacion para la 
Evaluar las necesidades de personal de forma regular afines dotacién de personal de 


0 ante cambios importantes en la empresa, 0 en los ; los procesos 
: ‘ 2 ri | 

entornos operativos o de Tl, para asegurar que la Bron OG fe dad de la 

empresa tiene suficientes recursos humanos para 


apoyar las metas y objetivos empresariales. El personal | Fuera del ambito } Normativas locales 
incluye recursos tanto internos como externos. de COBIT 5 para 

Seguridad de la 

Informacion 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


1. Asegurar que los requisitos de seguridad de la informacion asociados a dotar el proceso de personal , son incorporados en los procesos de 
contratacion de TI para empleados, subcontratistas y proveedores. 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 


AP007.02 Identificar personal clave de TI. Fuera del e Lista de normativas e Lista de contactos de Interna 
Identificar al personal clave de Tl a la vez que se ambito de internas y externas que emergencia 
reduce al minimo las dependencias unipersonales COBIT 5 para afectan a las vacaciones | @ Planes de sucesion 
en la realizacion de una funcién critica de trabajo, Seguridad de la y a otros derechos y 
mediante la captura de conocimiento (documentaci6n), | Informacion obligaciones laborales 
el intercambio de conocimientos, la planificacion de la e Analisis de impacto en 
sucesion y el respaldo del personal. el negocio (BIA) de los 

procesos de negocio 

e Lista de normativas 

internas y externas que 

afecten a la segregacién 

de funciones y a las 

politicas de RRHH o de 

seguridad (personal) 

e Lista de funciones 

de negocio, roles 

y su rendimiento 

de cuentas y otras 

responsabilidades 

relacionadas con los 

procesos de negocio 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


1. Asegurar la segregacion de funciones en los puestos criticos. 
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COBIT®@ para Securipan DE LA INFORMACION 


APO07 Practicas, Entradas/Salidas y Actividades del Proceso especificas de Seguridad (cont.) 


Practica de Gestion 


AP007.03 Mantener las habilidades y competencias 
del personal. 

Definir y gestionar las habilidades y competencias 
necesarias del personal. Verificar regularmente 

que el personal tenga las competencias necesarias 
para cumplir con sus funciones sobre la base de su 
educacion, formacion y/o experiencia; y verificar que 
estas competencias se mantienen, con programas de 
capacitacion y certificacién en su caso. Proporcionar 
alos empleados formacién continua y oportunidades 
para mantener sus conocimientos, habilidades y 
competencias al nivel requerido para conseguir las 
metas empresariales. 


Salidas especificas de Seguridad 
(Adicionales a las Salidas de COBIT 5) 


Descripcion 


Entradas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) 


Fuera del eListado del personal 
ambito de Listado de contratistas 
COBIT 5 para ¢Habilidades del personal 
Seguridad de la 

Informacion 


Plan de formacion APO07.04 
en seguridad de la 


informacion 


Entrenamiento y Interna 
concienciacién en 
seguridad de la 


informacién 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


1. Proporcionar formacién y programas de desarrollo profesional sobre seguridad de la informacion. 


2. Hacer uso de los programas de certificacion personal para asegurar un conjunto de habilidades profesionales, de calidad, en seguridad de la 


informacién. 


3. Establecer los oportunos programas educativos, de formacion y de concienciacién, de alcance corporativo, en seguridad de la informacion. 


Practica de Gestion 


APO07.04 Evaluar el desempeiio laboral de los 
empleados. 

Lleve a cabo oportunamente evaluaciones de 
rendimiento de manera regular respecto a los objetivos 
individuales derivados de los objetivos de la empresa, 
a las normas establecidas, a las responsabilidades 
especificas del trabajo y al marco de habilidades 

y competencias. Los empleados deberian recibir 
preparacion sobre aspectos de desempefio personal y 
conducta, siempre que sea apropiado. 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 
| Desde | ——Descripcién_—|_—Descripcion | _—Hacia_—| 


APO07.03 Plan de formacion Evaluaciones del personal | Interna 
en seguridad de la sobre seguridad de la 
informacion informacion 


MEA01.02 Métricas y objetivos 
de seguridad de 
la informacion, 


consensuados 


Fuera del ambito | Politica de Recursos 
de COBIT 5 para | Humanos 

Seguridad de la 

Informacion 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


1. Incorporar criterios de seguridad de la informacién a los procesos de evaluacion del personal. 


Practica de Gestion 


APO007.05 Planificar y realizar un seguimiento del 
uso de recursos humanos de TI y del negocio. 
Comprender y realizar un seguimiento de la demanda, 
actual y futura, de recursos humanos para el negocio 

y Tl con responsabilidades sobre las TI corporativas. 
Identificar las carencias y proporcionar datos de entrada 
para los planes de aprovisionamiento; los planes de 
abastecimiento de procesos de contratacién de personal 
para el negocio y para Tl; y los propios procesos de 
contratacion para el negocio y para Tl. 


Entradas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) 


Desde Descripcién 


AP002.06 Plan de seguridad de la ¢ Plan de seguimiento 
informacion del rendimiento de los 


Fuera del ¢ Requisitos de recursos | , Loma Bara 
ambito de de proceso racursos 
COBIT 5 para e Asignaciones de 
Seguridad de la presupuesto 
Informacion e Listados de personal 
e Habilidades del personal 


Salidas especificas de Seguridad 
(Adicionales a las Salidas de COBIT 5) 


Interna 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


1. Gestionar la asignacion de personal de seguridad de la informacion de acuerdo a las necesidades de negocio. 
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APENDICE B 
GuiA DETALLADA: CATALIZADOR DE PROCESOS 


APO07 Practicas, Entradas/Salidas y Actividades del Proceso especificas de Seguridad (cont.) 
Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 
Practica de Gestion | Desde | ——_—Descripcién—|_—Descripcién | _—Hacia_—| 
AP007.06 Gestionar el personal contratado. AP001.03 Politicas de seguridad de |} Acuerdos de no Interna 
Asegurese de que los consultores y el personal la informacion y afines divulgaci6n y otras 
contratado que apoyan a la empresa con sus F politicas firmadas por 
capacidades de Tl, conocen y cumplen las politicas de APO2-06 ee dela terceras partes 
la organizacién asi como los requisitos contractuales 
previamente acordados. BAIO2.01 Requisitos de seguridad de 
la informacion 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Obtener la aceptacién formal del personal en relaci6n a los requisitos y politicas de seguridad de la informacion. 


Para mas informacion acerca de los catalizadores relacionados, por favor consulta: 
e Apéndice E. Guia Detallada: Catalizador de Informacion, E.7. Material de Concienciacion 
e Apéndice G. Guia Detallada: Catalizador de Personas, Habilidades y Competencias 
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APENDICE B 
GuiA DETALLADA: CATALIZADOR DE PROCESOS 


Area: Gestion 
AP008 Gestionar las Relaciones Dominio: Alinear, Planificar y Organizar 
Descripcién del Proceso de COBIT 5 
Gestionar las relaciones entre el negocio y Tl de modo formal y transparente, enfocandolas hacia el objetivo comun de obtener resultados empresariales 
exitosos apoyando los objetivos estratégicos y dentro de las restricciones del presupuesto y los riesgos tolerables. Basar la relacion en la confianza 
mutua, usando términos entendibles, lenguaje comun y voluntad de asumir la propiedad y responsabilidad en las decisiones claves. 


Declaracion del Propdsito del Proceso de COBIT 5 
Crear mejores resultados, mayor confianza en la tecnologia y conseguir un uso efectivo de los recursos. 


APO08 Metas y Métricas del Proceso especificas de Seguridad: 


Metas del Proceso especificas de Seguridad Métricas Relacionadas 


1. Se ha establecido una estructura de coordinacién, comunicacién y enlace | © Porcentaje de representacion de la seguridad de la informacion en los 
entre la funcién de seguridad de la informacion y varios grupos de interés comités de negocio 


2. Los grupos de interés reconocen la seguridad de la informacion como e Tasa de inclusion de las iniciativas de seguridad de la informacién en las 
un catalizador del negocio propuestas de inversion 


APO08 Practicas, Entradas/Salidas y Actividades del Proceso especificas de Seguridad 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 


AP008.01 Entender las expectativas del negocio. Fuera del Metas y objetivos del Comprensién de los AP008.02 
Entender los problemas y objetivos actuales del negocio | ambito de negocio procesos de negocio de la | APO08.03 
y sus expectativas para Tl. Asegurar que los requisitos COBIT 5 para empresa 

son entendidos, gestionados y comunicados, y su Seguridad de la 

estado acordado y aprobado. Informacion 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Entender el negocio y cémo la seguridad de la informacion lo habilita/afecta. 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 


Practica de Gestion Descripcion Descripcion 
AP008.02 Identificar oportunidades, riesgos y AP004.03 Tendencias emergentes Innovaciones en Seguridad | APO08.03 
limitaciones de TI para mejorar el negocio. en seguridad de la de la Informacion 


Identificar oportunidades potenciales para que Tl sea informacion identificadas 


catalizadora de un mejor rendimiento empresarial. APOO8.01 Comprensién de los 
procesos de negocio de la 
empresa 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


1. Entender las tendencias y las nuevas tecnologias en seguridad de la informacion y como pueden ser aplicadas, de modo innovador, para mejorar el 


rendimiento de los procesos de negocio. 
Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 
AP008.03 Gestionar las relaciones con el negocio. APO008.01 Comprension de los Estrategia para lograr el Interna 
Gestionar la relacion con los clientes (representantes del procesos de negocio de la_}| compromiso de las partes 


negocio). Asegurar que los roles y responsabilidades de empresa interesadas 


id A ini i ilita | : : 
ler ates definidos, asignados y que se facilita la AP008.02 Innovaciones en seguridad 
, de la informacion 


DSS02.02 Incidentes y peticiones 
de servicio de seguridad 
de la informacion, 
Clasificados y priorizados 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Establecer un método para influir en los contactos clave en relacién con seguridad de la informacion. 
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APO008 Practicas, Entradas/Salidas y Actividades del Proceso especificas de Seguridad (cont.) 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 


AP008.04 Coordinar y comunicar. Fuera del Plan de comunicacién Estrategia de Interna 
Trabajar con las partes interesadas y coordinar, de ambito de corporativo comunicacion de 
extremo a extremo, la entrega de los servicios de Tl y COBIT 5 para la seguridad de la 
las soluciones proporcionadas al negocio. Seguridad de la informacion 
Informacion 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Establecer los canales de comunicacién adecuados entre la funcién de seguridad de la informacion y el negocio. 
2. Establecer la presentacion de informes y métricas sobre seguridad de la informacion de forma adecuadas. 


Practica de Gestion 


AP008.05 Proveer datos de entrada para la mejora__| AP002.02 Capacidades de seguridad | Integracién de la seguridad | Interna 
continua de los servicios. de la informacion de la informacion en 

Mejorar y evolucionar continuamente los servicios sas : el proceso de mejora 

basados es TI y la entrega del servicio a la empresa, B20 eee acne de continua 

para alinearlos con unos cambiantes requisitos de 

empresa y tecnoldgicos. 
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Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Incorporar los requisitos de seguridad de la informacidn al proceso de mejora continua. 


Para obtener mas informacion acerca de los catalizadores relacionados, por favor consulte 
e Apéndice C. Guia Detallada: Catalizador de Estructuras Organizativas, C.5. Depositarios de la Informacién/Duefos del Negocio. 
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APENDICE B 
GuiA DETALLADA: CATALIZADOR DE PROCESOS 


Area: Gestion 
AP009 Gestionar los Acuerdos de Servicio Dominio: Alinear, Planificar y Organizar 


Descripcién del Proceso de COBIT 5 
Alinear los servicios basados en TI y los niveles de servicio con las necesidades y expectativas de la empresa, incluyendo identificacion, especificacidn, 
disefio, publicacion, acuerdo y supervision de los servicios Tl, niveles de servicio e indicadores de rendimiento. 


Declaracion del Propdsito del Proceso de COBIT 5 
Asegurar que los servicios TI y los niveles de servicio cubren las necesidades presentes y futuras de la empresa. 


APOO9 Metas y Métricas del Proceso especificas de Seguridad 


Metas del Proceso especificas de Seguridad Métricas Relacionadas 
1. Los acuerdos de nivel de servicio (ANS) tienen en cuenta los requisitos | © Porcentaje de acuerdos de servicio que incluyen metas de seguridad de 
de seguridad de la informaci6n la informacion. 
APOO9 Practicas, Entradas/Salidas y Actividades del Proceso especificas de Seguridad 
Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 


AP009.01 Identificar servicios TI. Requisitos de seguridad APO09.02 
Analizar los requisitos del negocio y el modo en que de la informacion en 

los servicios de TI y los niveles de servicio soportan los servicios de Tl 

los procesos de negocio. Discutir y acordar servicios identificados 

potenciales y niveles de servicio con el negocio, y 

compararlos con el vigente portafolio de servicios para 

identificar servicios nuevos 0 modificados, u opciones 

de nivel de servicio. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
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1. Identificar los requisitos de seguridad de informacidn de los servicios de TI identificados. 
2. Definir y verificar el portafolio de servicios de seguridad de la informacion. 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 


Practica de Gestion Desde Descripcion Descripcion 


AP009.02 Catalogar servicios basados en TI. APO09.01 Requisitos de seguridad Catalogo de servicios Interna 
Definir y mantener uno 0 mas catdlogos de servicios de la informacion en de seguridad de la 
para grupos destinatarios relevantes. Publicar y los servicios de Tl informacion 
mantener los servicios TI activos en los catalogos. identificados. 

Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Publicar un catalogo de servicios de seguridad de la informacion. 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 


Practica de Gestion Desde Descripcion Descripcion | Hacia | 


AP009.03 Definir y preparar acuerdos de servicio. BAIO3.11 Servicios de seguridad de | Acuerdos de nivel de AP009.04 
Definir y preparar los acuerdos de servicio basandose la Informacion. servicio (ANSs) DSS05.02 
en las opciones de los catalogos de servicio. Incluir DSS05.03 


acuerdos internos de nivel de operaciones. Aeuardos- de nivelva DSS05.03 
operaciones (OLAs) 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Incluir requisitos de seguridad de la informacion en todos los ANSs. 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 


AP009.04 Supervisar e informar de los niveles de APO09.03 Acuerdos de nivel de Informes de rendimiento APO09.05 
servicio. servicio (ANSs) de nivel de servicio 


Supervisar los niveles de servicio, informar de es : de seguridad de la 
las mejoras e identificar tendencias. Proporcionar peel a da informacion 
informacion de gestién adecuada para ayudar a la 

gestion del rendimiento. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Vigilar la eficacia de la seguridad de la informacion dentro de la supervision del nivel de servicio 
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APO009 Practicas, Entradas/Salidas y Actividades del Proceso especificas de Seguridad (cont.) 
Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 
Practica de Gestion Desde | __—Descripcion—|_—Descripcién ~—|_—Hacia_—| 
AP009.05 Revisar acuerdos de servicio y contratos. Capacidades de seguridad | Acuerdos de nivel Interna 
Llevar a cabo revisiones periddicas de los acuerdos de de la informacién. de servicios (ANSs) 


rvicio y revisarl n n rio. actualizados 
So AGO YP aNisallte can Seanieceea i) AP002.06 Plan de seguridad de la 
informacion. 


AP009.04 Informes de rendimiento 
de nivel de servicio 
de seguridad de la 
informacion. 


BAIO2.01 Requisitos de seguridad de 
la informacién. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


1. Revisar periddicamente los requisitos de seguridad de la informacion en funcidn de la actualizacion de las necesidades de negocio. 


Para obtener mas informacion acerca de los catalizadores relacionados, por favor consulte 
e Apéndice E. Guia Detallada: Catalizador de Informacidn, E.9. Cuadro de Mando de la Seguridad de la Informacion. 
e Apéndice F. Guia Detallada: Catalizador de Servicios, Infraestructura y Aplicaciones. 


Alinear, Planificar y Organizar 
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APENDICE B 
GuiA DETALLADA: CATALIZADOR DE PROCESOS 


Area: Gestion 
AP010 Gestionar los Proveedores Dominio: Alinear, Planificar y Organizar 
Descripcion del Proceso de COBIT 5 
Administrar todos los servicios de Tl prestados por todo tipo de proveedores para satisfacer las necesidades del negocio, incluyendo la seleccién de 
los proveedores, la gestion de las relaciones, la gestion de los contratos y la revision y supervision del desempefo, para una eficacia y cumplimiento 
adecuados. 


Declaracion del Propdsito del Proceso de COBIT 5 
Minimizar el riesgo de proveedores que no rindan y asegurar precios competitivos. 


APO10 Metas y Métricas del Proceso especificas de Seguridad 


Metas del Proceso especificas de Seguridad Métricas Relacionadas 


1. Se evalua periddicamente a los proveedores y los contratos; y se ¢ Porcentaje de proveedores que cumplen los requisitos acordados 
disponen planes adecuados de mitigacion del riesgo. N° de brechas de seguridad de los sistemas de informacién causados 
por proveedores 
© N° de eventos de seguridad de la informacién que llevan a incidentes 
Frecuencia de incidentes de seguridad de la informacién con proveedores 
N° de revisiones independientes de seguridad de la informacion de los 
proveedores 


2. Los proveedores reconocen la seguridad de la informacién como un ¢ Porcentaje de contratos con proveedores que incluyen requisitos de 
importante catalizador de negocio. seguridad de la informacién 
N° de incidentes de seguridad de la informacion relacionados con 
proveedores 


APO10 Practicas, Entradas/Salidas y Actividades del Proceso especificas de Seguridad 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 


AP010.01 Identificar y evaluar las Fuera del Analisis de riesgos de Catalogo de proveedores |} APO10.04 
relaciones y contratos con proveedores. ambito de proveedores AP010.05 
Identificar proveedores y contratos asociados | COBIT 5 para BAI03.04 
y categorizarlos por tipo, relevancia Seguridad de la 

y criticidad. Establecer un criterio de Informacion 

evaluacion de contratos y proveedores y 

evaluar la cartera general de proveedores 

y contratos actuales y alternativos. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Llevar a cabo las evaluaciones de riesgos de la informacion y definir el perfil de riesgo de la misma. 
2. Definir la relacion y requisitos de los proveedores basandose en el perfil de riesgo de la informacion. 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 


AP010.02 Seleccionar proveedores. 
Seleccionar proveedores de acuerdo a 
practicas justas y formales que aseguren 

la seleccion del que mejor se adapte a los 
requisitos. 

Los requisitos deberian estar optimizados 
con las aportaciones de nuevos proveedores 
potenciales. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


0. No son necesarias guias especificas sobre seguridad de la informacién para esta practica. Las actividades genéricas de COBIT 5 pueden ser utilizadas 
como guia adicional. 
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COBIT®@ para Securipan DE LA INFORMACION 


AP010 Practicas, Entradas/Salidas y Actividades del Proceso especificas de Seguridad (cont.) 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 
Practica de Gestion Desde 


AP010.03 Gestionar contratos y 
relaciones con proveedores. 

Formalizar y gestionar las relaciones con 
cada proveedor. Gestionar, mantener y 
supervisar los contratos y la entrega de 
servicios. 

Asegurar que los nuevos contratos 0 los 
cambios son conformes a las normas de la 
empresa, a las leyes y a las regulaciones. 
Gestionar los conflictos contractuales. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
0. No son necesarias guias especificas sobre seguridad de la informacién para esta practica. Las actividades genéricas de COBIT 5 pueden ser utilizadas 


como guia adicional. 
Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 


AP010.04 Gestionar el riesgo en el APO10.01 Catalogo de proveedores _| Valoracién del riesgo del AP010.05 
suministro. proveedor, actualizada 

Identificar y gestionar los riesgos 

relacionados con la capacidad de los 

proveedores de proporcionar de manera 

continua una entrega del servicio segura, 

eficaz y eficiente. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
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1. Reevaluar, periddicamente, los perfiles de seguridad de los proveedores, a partir de los requisitos de seguridad de la informacion y de otros tipos. 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 
Practica de Gestion | Desde | ——Descripcidn_——|_—Descripcion | Hacia 
AP010.05 Supervisar el cumplimiento y el | APO10.01 Catalogo de proveedores | Resultado de Ia revision Interna 


Rewsrperéicamente el rendimiento | APO10.04 | Valrain del riesgo | Soveedor 
general de los proveedores, el cumplimiento Pp ; 
con los requisitos contractuales y la relacién 
calidad-precio, y tratar las incidencias 
identificadas. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Supervisar si los proveedores garantizan una entrega del servicio segura, eficiente y eficaz. 


A mas informacion de los catalizadores relacionados, por favor consultar: 
¢ Apéndice C. Guia Detallada: Catalizador de Estructuras Organizativas, C.4. Comité de Gestion de Riesgo Empresarial 
e Apéndice G. Guia Detallada: Catalizador de Personas, Habilidades y Competencias, G.3. Gestidn de Riesgo de la Informacion 
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APENDICE B 
GuiA DETALLADA: CATALIZADOR DE PROCESOS 


Area: Gestion 
APO11 Gestionar la Calidad Dominio: Alinear, Planificar y Organizar 
Descripcion del Proceso de COBIT 5 


Definir y comunicar los requisitos de calidad en todos los procesos, procedimientos y resultados relacionados de la organizacion, incluyendo controles, 
vigilancia constante y el uso de practicas probadas y estandares de mejora continua y esfuerzos de eficiencia. 


Declaracion del Propdsito del Proceso de COBIT 5 
Asegurar la entrega consistente de soluciones y servicios que cumplan con los requisitos de la organizacion y que satisfagan las necesidades de las 
partes interesadas. 


APO11 Metas y Métricas del Proceso especificas de Seguridad 


Metas del Proceso especificas de Seguridad Métricas Relacionas 


1. Se han definido e implementado los requisitos de calidad operativos ¢ Porcentaje, basado en encuestas, de partes interesadas satisfechas con 
para los servicios de seguridad de la informacion. la calidad de los servicios de seguridad de la informacion 

© Numero de servicios con un plan formal de seguridad de la informacion 

Frecuencia de presentacion de informes (semanal, mensual, trimestral, 
anual) 

© Medida en que la resolucion de cuestiones de seguridad de la 
informacion (incidentes, vulnerabilidades, puntos de auditoria, etc.) 
queda realizada de forma oportuna 

© Porcentaje de personal de seguridad de la informacién con credenciales 
profesionales (CISM, CISSP, etc.) 

© Numero de horas de formacidn profesional continua (CPE), u horas de 
asistencia a formacion o a eventos del sector 


APO11 Practicas, Entradas/Salidas y Actividades del Proceso especificas de Seguridad 


Practica de Gestion 


AP011.01 Establecer un sistema de AP001.06 Roles y responsabilidades | Buenas practicas y normas | APO11.02 
gestion de la calidad (SGC). de la seguridad de la relevantes de seguridad de 


Establecer y mantener un SGC que informacion la informacion 


proporcione una aproximacion a la gestion : ; 
de la calidad de la informacion para la AP O02 02 Pa erie la 
informacién, la tecnologia y los procesos de 


negocio que sea continua, estandarizada, AP002.06 Plan de seguridad de la 
formal y que esté alineada con los informacion. 
requerimientos del negocio y con la gestion 

corporativa de la calidad. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Determinar buenas practicas de seguridad de la informacion. 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 


AP011.02 Definir y gestionar normas, AP011.01 Buenas practicas y normas | Normas de calidad AP011.03 
practicas y procedimientos de seguridad. relevantes para seguridad | dirigidas ala seguridad de | BAI03.06 
Identificar y mantener requisitos, normas, de la informacion la informacion 

procedimientos y practicas para los procesos 

clave, a fin de guiar a la empresa hacia el 

cumplimiento del propdsito del QMS comun, 

consensuado. Esto deberia estar en linea 

con los requisitos del marco de control de TI. 


Considerar la certificacién para los procesos, 
unidades organizativas, productos 0 servicios 
clave. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Alinear las practicas de seguridad de la informacion con el sistema de gestion de la calidad (SGC). 
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COBIT®@ para Securipap de LA INFORMACION 


APO11 Practicas, Entradas/Salidas y Actividades del Proceso especificas de Seguridad (cont.) 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 


APO11.03 Enfocar la gestion de la calidad | APO11.02 Normas de calidad Acuerdos de nivel de APO11.04 
en los clientes. dirigidas a la seguridad de | servicio consensuados y 

Enfocar la gestion de la calidad en los la informacion clausulas contractuales, 

Clientes, mediante la determinaci6n de sus relativos a la calidad de la 


necesidades y asegurar el alineamiento con seguridad de la informacion, 
las practicas de gestidn de la calidad. cuando sea pertinente 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Obtener el consenso del cliente sobre los requisitos de los acuerdos de nivel de servicio de seguridad de la informacion. 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 


AP011.04 Supervisar y hacer controles y | APO11.03 Acuerdos de nivel de Métricas de la calidad AP011.05 
revisiones de la calidad. servicio consensuados y de la seguridad 

Supervisar la calidad de procesos y servicios de clausulas contractuales, de la informacion 

forma permanente como se defina en el SGC. relativos a la calidad implementadas en linea 

Definir, planificar y aplicar medidas para de la seguridad de la con las buenas practicas 

supervisar la satisfaccion del cliente con la informacion, cuando sea 


calidad, asi como el valor que proporciona pertinente 
el SGC. 

La informacion recogida deberia ser utilizada 

por los propietarios de los procesos para 

mejorar la calidad. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


1. Definir métricas de la calidad de la seguridad de la informacion para medir la consecucidn de los requisitos de seguridad de la informacién y el 
funcionamiento eficiente de los controles de seguridad de la informacién. 


2. Supervisar las métricas de la calidad de la seguridad de la informacidn. 
3. Adoptar acciones correctivas para subsanar problemas de calidad en la funcién de seguridad de la informacién. 


Practica de Gestion Desde 


APO11.05 Integrar la gestion de la calidad | APO11.04 Meétricas de la calidad Enlace con el proceso Interna 
en la implementacion de soluciones y la de la seguridad de la de comunicacion de 

entrega de servicios. informacion implantadas | incidentes de seguridad 

Incorporar practicas pertinentes de gestion en linea con las buenas 

de la calidad en la definicién, supervision, practicas 


notificacion y gestion continua de los 
desarrollos de soluciones y los servicios 
ofrecidos. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Identificar, documentar y comunicar el origen de los problemas con las métricas de calidad de la seguridad de la informacion. 
2. Aplicar practicas correctivas para solucionar los problemas de calidad. 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 


Practica de Gestion 


APO11.06 Mantener una mejora continua. 
Mantener y comunicar regularmente un 

plan de la calidad global que promueva 

la mejora continua. Este deberia incluir la 
necesidad y los beneficios de una mejora 
continua. Recoger y analizar datos sobre el 
SGC y mejorar su eficacia. Corregir las no 
conformidades para prevenir la recurrencia. 
Promover una cultura mejora continua de la 
calidad. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


0. No son necesarias guias especificas sobre seguridad de la informacion para esta practica. Las actividades genéricas de COBIT 5 pueden ser utilizadas 
como guia adicional. 
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APENDICE B 
GuiA DETALLADA: CATALIZADOR DE PROCESOS 


Area: Gestion 
APO12 Gestionar el Riesgo Dominio: Alinear, Planificar y Organizar 
Descripcién del Proceso de COBIT 5 
Identificar, evaluar y reducir los riesgos relacionados con Tl de forma continua, dentro de niveles de tolerancia establecidos por la direccion ejecutiva de 
la empresa. 
Declaracion del Propdsito del Proceso de COBIT 5 
Integrar la gestion de riesgos empresariales relacionados con TI en la gestion general de riesgos corporativos (ERM) y equilibrar los costes y beneficios 
de gestionar riesgos empresariales relacionados con Tl. 


AP0O12 Metas y Métricas del Proceso especificas de Seguridad 


Metas del Proceso especificas de Seguridad Métricas Relacionadas 


1. Se dispone de un perfil de riesgo, completo y vigente, para la tecnologia, | ¢ Existencia, vigencia y completitud de los perfiles de riesgo. 
las aplicaciones y la infraestructura, dentro de la empresa. 


2. La respuesta a incidentes de seguridad de la informacion forma parte © Numero de incidentes con valoraciones de riesgo adecuadamente 
del proceso global de gestion del riesgo para proporcionar la capacidad disefiadas 
de actualizar el portafolio de gestion del riesgo. 


APO12 Practicas, Entradas/Salidas y Actividades del Proceso especificas de Seguridad 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 


APO012.01 Recopilar datos. AP001.03 Politicas de seguridad de la | Datos sobre el riesgo AP012.02 


Identificar y recopilar datos relevantes para hacer informacidn y afines de seguridad de la APO12.03 


de la informacién 


DSS02.02 Incidentes de seguridad de 
la informacién y solicitudes 
de servicio, clasificados y 
priorizados 


fe ile ag y notificacion efectiva APOO1.08 Evaluacién dat | informacion 
, cumplimiento de seguridad 


Actividades especificas de Seguridad (Adicionales a las actividades de COBIT 5) 
1. Identificar y recopilar datos relevantes para hacer posible una eficaz identificacion, andlisis y entrega de informes relativos a seguridad de la informacion. 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 


Practica de Gestion 


APO012.02 Analizar el riesgo. Datos sobre el riesgo de Resultados del analisis de 
Desarrollar informacion util para soportar las decisiones seguridad de la informacion | seguridad de la informacion 
VANCE pea sl nepOcl de os fares do esq Evaluacion de las Escenario de riesgos de 

‘ amenazas potenciales seguridad de la informacion 
Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


1. Identificar, analizar y evaluar el riesgo de la informacion. 


Entradas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) 


Practica de Gestion Descripcion 
AP012.03 Mantener un perfil de riesgo. Principios que rigen la Perfil de riesgo de AP012.04 
Mantener un inventario del riesgo conocido y seguridad de la informacion | seguridad de la AP012.05 


atributos de riesgo (incluyendo frecuencia esperada, ; informacion BAIO1.01 
impacto potencial y respuestas) y de otros recursos, BAIO1.11 
capacidades y actividades de control actuales BAI02.03 
relacionados Resultado del andlisis de 

riesgo de seguridad de 

la informacion 

e Escenarios de riesgos 
de seguridad de la 
informacion 


Evaluacion de potenciales 
amenazas 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Crear un perfil de riesgo que incluya aspectos de seguridad de la informacién. 
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APO12 Practicas, Entradas/Salidas y Actividades del Proceso especificas de Seguridad (cont.) 
Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 


AP012.04 Expresar el riesgo. AP012.03 Perfil de riesgo de Estrategias de respuesta a | Interna 
Proporcionar informacién sobre el estado actual de seguridad de la riesgos de seguridad de la 
exposiciones y oportunidades relacionadas con TI de informacion informacion 


forma oportuna a todas las partes interesadas para una 
respuesta apropiada. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Definir y poner en marcha la evaluacién de riesgo y las estrategias de respuesta. 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 
Practica de Gestion Descripcién 
APO12.05 Definir un portafolio de acciones para la AP012.03 Perfil de riesgo de Propuestas de proyectos | AP012.06 
gestion de riesgos. seguridad de la para reducir el riesgo 
Gestionar las oportunidades para reducir el riesgo a un informacion de seguridad de la 
nivel aceptable como un portafolio. informacion 


Propuestas de proyectos | AP013.02 
para reducir el riesgo 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
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1. Supervisar continuamente los niveles de riesgo de las TI y de la informacion. 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 
AP012.06 Responder al riesgo. AP012.05 Propuestas de proyecto Practicas de reduccién del | Interno 
Responder de una forma oportuna con medidas para reducir el riesgo riesgo de la seguridad de 
efectivas que limiten la magnitud de pérdida por de la seguridad de la la informacion 
eventos relacionados con Tl. informacion 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Aplicar las practicas seleccionadas de mitigacién de riesgos de la seguridad de la informacion. 


Para mas informacion de los catalizadores relacionados, por favor consultar: 
¢ Apéndice C. Guia Detallada: Catalizador de Estructuras Organizativas, C.4. Comité de Gestion de Riesgo Empresarial 
 Apéndice G. Guia Detallada: Catalizador de Personas, Habilidades y Competencias, G.3. Gestion de Riesgo de la Informacion 
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APENDICE B 
Guid DETALLADA: CATALIZADOR DE PROCESOS 


Area: Gestion 
AP013 Gestionar de la Seguridad Dominio: Alinear, Planificar y Organizar 


Descripcién Proceso COBIT 5 
Definir, administrar y supervisar un sistema de gestién de seguridad de la informacion. 


Declaracion del Propdsito del Proceso COBIT 5 
Mantener el impacto y la ocurrencia de incidentes de seguridad de la informacion dentro de los niveles de apetito al riesgo de la empresa. 


APO13 Objetivos y Métricas de Proceso especificos de seguridad 


Objetivos de Proceso especificos de Seguridad Métricas Relacionadas 


1. Esta en marcha un sistema que considera y trata efectivamente los ¢ Numero de roles de seguridad claves claramente definidos 
requerimientos de seguridad de la informacion de la empresa. © Numero de incidentes relacionados con la seguridad 


2. Se ha establecido, aceptado y comunicado por toda la empresa un plan | @ Nivel de satisfaccion de las partes interesadas con el plan de seguridad 
de seguridad. en toda la empresa 
¢ Numero de soluciones de seguridad que se desvian del plan 
© Numero de soluciones de seguridad que se desvian de la arquitectura de 
empresa 


3. Las soluciones de seguridad de la informacién estan implementadas y © Numero de servicios con alineamiento confirmado al plan de seguridad 
operadas de forma consistente en toda la empresa. ¢ Numero de incidentes de seguridad causados por la no observancia del 
plan de seguridad 
¢ Numero de soluciones desarrolladas con alineamiento confirmado al 
plan de seguridad 
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AP013 — Practicas, Entradas/Salidas y Actividades especificos de Seguridad del Proceso 
Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 
Practica de Gestion | Desde | ——Descripcién—|_—Descripcién | _—Hacia_—| 
AP013.01 Establecer y mantener un SGSI. Fuera del Enfoque de seguridad de | Declaracién de alcance AP001.02 
Establecer y mantener un SGSI que proporcione un ambito de la empresa del SGSI DSS06.03 


enfoque estandar, formal y continuo a la gestion de COBIT 5 para es 
seguridad para la informacion, tecnologia y procesos Seguridad de la Politica de SGSI Interno 
de negocio que esté alineado con los requerimientos de | Informacion 


negocio y la gestion de seguridad en la empresa. 
Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


1. Definir el alcance y los limites del SGSI en términos de las caracteristicas de la empresa, la organizacion, su localizacion, activos y tecnologia. Incluir 
detalles de y justificacién para, cualquier exclusion del alcance. 


2. Definir un SGSI de acuerdo con la politica de empresa y alineado con la empresa, la organizacion, su localizacién, activos y tecnologia. 
3. Alinear el SGSI con el enfoque global de gestidn de la seguridad en la empresa. 

4. Obtener autorizacién de la direccién para implementar y operar o cambiar el SGSI. 

5. Preparar y mantener una declaraci6n de aplicabilidad que describa el alcance del SGSI. 

6. Definir y comunicar los roles y las responsabilidades de la gestion de la seguridad de la informacion. 

7. Comunicar el enfoque del SGSI. 
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AP013 — Practicas, Entradas/Salidas y Actividades especificos de Seguridad del Proceso (cont.) 
Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 


Practica de Gestion Descripcion 
AP013.02 Definir y gestionar un plan de tratamiento | APO02.04 Diferencias y cambios Casos de negocio APO02.05 
del riesgo de la seguridad de la informacion. necesarios para alcanzar | de seguridad de la 
Mantener un plan de seguridad de informacion que la capacidad objetivo informacion 
describa como se gestionan y alinean los riesgos = -_ 
de seguridad de informacion con la estrategia APO03.02 isi Mr 
y la arquitectura de empresa. Asegurar que las an Tene 
recomendaciones para implementar las mejoras en q 


seguridad se basan en casos de negocio aprobados, AP012.05 Propuestas de proyectos 
se implementan como parte integral del desarrollo de para reducir el riesgo 
soluciones y servicios y se operan, después, como parte 
integral de las operaciones del negocio. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


1. Formular y mantener un plan de tratamiento de riesgos de seguridad de la informacidn alineado con los objetivos estratégicos y la arquitectura 
de la empresa. Asegurar que el plan identifica las practicas de gestion y las soluciones de seguridad apropiadas y dptimas, con los recursos, las 
responsabilidades y las prioridades asociadas para gestionar los riegos de seguridad de informacion identificados. 


2. Mantener un inventario de componentes de la solucién implementados para gestionar los riesgos relacionados con la seguridad como parte de la 
arquitectura de la empresa. 


3. Desarrollar propuestas para implementar el plan de tratamiento de riesgos de seguridad de la informacion, sustentados en casos de negocio 
adecuados que incluyan la consideracién de la financiaci6n y la asignacion de roles y responsabilidades. 


4. Proporcionar informacién para el disefio y desarrollo de practicas de gestion y soluciones seleccionadas sobre la base del plan de tratamiento de 
riesgos de seguridad de la informacion. 


5. Definir la forma de medici6n de la efectividad de las practicas de gestion seleccionadas y especificar la forma de utilizar estas mediciones para 
evaluar la efectividad y producir resultados reproducibles y comparables. 


6. Recomendar programas de formaci6n y concienciacion en seguridad de la informacion. 


7. Integrar la planificacion, el disefio, la implementacion y la supervision de los procedimientos de seguridad de informacion y otros controles que 
permitan la prevencién y deteccién temprana de eventos de seguridad, asi como la respuesta a incidentes de seguridad. 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 


Practica de Gestion Descripcion Descripcion 


AP013.03 Supervisar y revisar el SGSI. DSS02.02 Incidentes y Recomendaciones para Interno 
Mantener y comunicar regularmente la necesidad y requerimientos de mejorar el SGSI 

los beneficios de la mejora continua de la seguridad servicios clasificados y a 

de informacién. Recolectar y analizar datos sobre el priorizados Inari a abaiiorieedal MEME 


SGSI y la mejora de su efectividad. Corregir las no SésI 
conformidades para prevenir recurrencias. Promover 
una cultura de seguridad y de mejora continua. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


1. Realizar revisiones periddicas del SGSI, incluyendo aspectos de politicas, objetivos y practicas de seguridad del SGSI. Considerar los resultados de 
auditorias de seguridad, incidentes, resultados de mediciones de efectividad, sugerencias y retroalimentacion de todas las partes interesadas. 


2. Realizar auditorias internas al SGSI a intervalos planificados. 


3. Realizar revisiones periddicas del SGSI por la Direccion para asegurar que el alcance sigue siendo adecuado y que se identifican mejoras en el 
proceso del SGSI. 


4. Proporcionar informacion para el mantenimiento de los planes de seguridad para que se incluyan las incidencias de las actividades de supervision y 
revision periddica. 





5. Registrar las acciones y los eventos que podrian tener un impacto en la efectividad o el desempefio del SGSI. 
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APENDICE B 
Guid DETALLADA: CATALIZADOR DE PROCESOS 


B.3 CONSTRUIR, ADQUIRIR E [MPLEMENTAR (BAT) 


01 Gestionar los programas y proyectos. 

O2  Gestionar la definicién de requisitos. 

O3_ Gestionar la identificacion y construcci6n de soluciones. 
04 _—Gestionar la disponibilidad y la capacidad. 


O05 Gestionar la introduccién de cambios organizativos. 
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O06 __ Gestionar los cambios. 





O07  Gestionar la aceptacién del cambio y de la transicion. 
O08 __ Gestionar el conocimiento. 
O9 _ Gestionar los activos. 


10 Gestionar la configuracion. 
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Pagina dejada en blanco intencionadamente 
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APENDICE B 
GuiA DETALLADA: CATALIZADOR DE PROCESOS 


Area: Gestion 
BAIO1 Gestionar Programas y Proyectos Dominio: Construir, Adquirir e Implementar 
Descripcién Proceso COBIT 5 
Gestionar todos los programas y proyectos del portafolio de inversiones de forma coordinada y en linea con la estrategia corporativa. Iniciar, planificar, 
controlar y ejecutar programas y proyectos y cerrarlos con una revision post-implementacion. 


Declaracion del Propdsito del Proceso COBIT 5 

Alcanzar los beneficios de negocio y reducir el riesgo de retrasos y costes inesperados y el deterioro del valor, mediante la mejora de las comunicaciones 
y la involucracion de usuarios finales y de negocio, asegurando el valor y la calidad de los entregables del proyecto y maximizando su contribucién al 
portafolio de servicios e inversiones. 


BAIO1 Objetivos y Métricas de Proceso especificos de seguridad 


Objetivos de Proceso especificos de Seguridad Métricas Relacionadas 


1. Se consideran y se incorporan los requisitos de seguridad de la  Porcentaje de programas y grupos de interés del proyecto 
informacion en todos los programas y proyectos. comprometidos de manera efectiva en la gestién de Seguridad de la 

Informacion 

 Porcentaje de programas y proyectos que tienen un andlisis de riesgos 
de seguridad y un plan de seguridad de la informacion para tratar el 
riesgo 

 Porcentaje de expertos en temas de seguridad de la informacién 
involucrados en los proyectos 

 Porcentaje de aprobaciones formales por parte de los grupos de interés 
de las etapas de revision y planes de remediacién 

Frecuencia de las revisiones del estado de seguridad de la informacion 

Grado de satisfaccién de los grupos de interés con los aspectos de 
seguridad de la informacion en el proyecto en la revision de cierre de 
proyecto 


BAIO1 — Practicas, Entradas/Salidas y Actividades especificos de Seguridad del Proceso 


Entradas especificas de seguridad Salidas especificas de seguridad 
(Adicionales a las Entradas COBIT 5) (Adicionales a las Salidas COBIT 5) 


BAIO1.01 Mantener un enfoque estandar para la AP001.03 Politicas de seguridad de | Requisitos de seguridad BAIO1.02 
gestion de programas y proyectos. la informacion y afines de la informaci6n en el BAIO2.02 
Mantener un enfoque estandar para la gestion de , , estudio de viabilidad BAI03.01 
programas y proyectos que posibilite revisiones y tomas AP002.02 si 
de decisién de gobierno y de gestion y actividades de 
gestion de la entrega, enfocadas en la consecuciéon AP002.06 Plan seguridad de la 
de valor y de objetivos (requisitos, riesgos, costes, informacion 
aie alien) peta alinegpen go Ui tai AP012.03 Perfil de riesgo de seguridad 
‘ de la informacion 
BAIO2.01 Requerimientos de 
seguridad de la informacion 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


1. Incorporar los requerimientos de seguridad de la informacion en el estudio de viabilidad para cada proyecto dentro de los programas. 
2. Establecer un proceso para asegurar que se protege toda la informacion que se recoge 0 se produce como parte del proyecto. 


Entradas especificas de seguridad Salidas especificas de seguridad 
(Adicionales a las Entradas COBIT 5) (Adicionales a las Salidas COBIT 5) 


BAIO1.02 Iniciar un programa. BAIO1.01 Requisitos de seguridad Caso de negocio BAIO1.04 
Iniciar un programa para confirmar los beneficios de la informacion en el conceptual del programa | BAIO1.08 
esperados y para obtener la autorizacion para proceder. estudio de viabilidad que incluye las actividades 

Esto incluye los acuerdos sobre el patrocinio del obligatorias de seguridad 

programa, confirmar el mandato del programa a través de la informacion 

de la aprobacidn del caso de negocio conceptual, 

designar a los consejeros 0 los miembros del comité del 

programa, generar el expediente del programa, revisar 

y actualizar el caso de negocio, desarrollar un plan de 

realizacion de beneficios y obtener la aprobacién de los 

patrocinadores para empezar. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Planificar las actividades de seguridad de la informacion para cada proyecto dentro del programa general. 
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COBIT®@ para Securipap dE LA INFORMACION 


BAIO1 — Practicas, Entradas/Salidas y Actividades especificos de Seguridad del Proceso (cont.) 


Entradas especificas de seguridad Salidas especificas de seguridad 
ca a las Entradas COBIT 5) (loon a las Salidas COBIT 5) 


Préctica de Gestion | Descrincion | __—Descripcion’ | A 


BAI001.03 Gestionar el compromiso de las partes 
interesadas. 

Gestionar el compromiso de las partes interesadas para 
asegurar un intercambio activo de informacion precisa, 
consistente y oportuna, que llegue a todos las partes 
interesadas relevantes. Esto incluye la planificacion, 
identificacién y el compromiso de las partes interesadas 
y la gestion de sus expectativas. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
0. No existen guias especificas de seguridad de la informacion relevantes para esta practica. Las actividades genéricas de COBIT 5 pueden usarse como 


guia adicional. 
Entradas especificas de seguridad Salidas especificas de seguridad 
(Adicionales a las Entradas COBIT 5) (Adicionales a las Salidas COBIT 5) 


BAI01.04 Desarrollar y mantener el plan de programa. | APO02.06 Plan de seguridad de la Plan conceptual del BAIO1.08 
Formular un programa para definir las bases iniciales informacion programa incluyendo las 
y posicionarlo para una ejecucidn exitosa mediante la : actividades obligatorias 

conceptual del programa 


formalizacién del alcance del trabajo a ser efectuado BATE Caso de negocio de seguridad de la 
e identificando los entregables que satisfaran sus é St informacion 
objetivos y la entrega de valor. Mantener y actualizar ah ee . Satie 

el plan del programa y el caso de negocio a lo largo fe a oe 
del ciclo de vida econdmico completo del programa, 
asegurando el alineamiento con los objetivos 
estratégicos y reflejando el estado actual y los 
conocimientos obtenidos hasta el momento. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


1. Desarrollar un plan de seguridad de la informacion que identifique el entorno y los controles de seguridad de la informacion que el equipo del proyecto 
ha de implantar para proteger los activos organizativos. 


2. Incluir los recursos necesarios en los proyectos para identificar e implementar de forma efectiva los requerimientos de seguridad de la informacion. 


Entradas especificas de seguridad Salidas especificas de seguridad 
(Adicionales a las Entradas COBIT 5) (Adicionales a las Salidas COBIT 5) 


BAI01.05 Lanzar y ejecutar el programa. 

Lanzar y ejecutar el programa para adaquirir y dirigir los 
recursos necesarios para lograr las metas y beneficios 
definidos en el plan del programa. De acuerdo con los 
criterios de revision de lanzamiento o cambio de fase 
(stage-gate), preparar los cambios de fase, las revisiones 
de las iteraciones o versiones para informar del progreso 
del programa y ser capaz de establecer los fundamentos 
para la financiacion de la siguiente etapa después de la 
revision del lanzamiento o de cambio de fase (stage-gate). 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
0. No existen guias especificas de seguridad de la informacion relevantes para esta practica. Las actividades genéricas de COBIT 5 pueden usarse como 


guia adicional. 
Entradas especificas de seguridad Salidas especificas de seguridad 
(Adicionales a las Entradas COBIT 5) (Adicionales a las Salidas COBIT 5) 
Practica de Gestion 


BAI01.06 Supervisar, controlar e informar de los 
resultados del programa. 

Supervisar y controlar el rendimiento del programa (entrega 
de soluciones) y de la organizacién (valor/resultado) versus 
el plan durante el ciclo de vida econdmico completo de la 
inversion. Informar del rendimiento al comité estratégico 
del programa y a los patrocinadores. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


0. No existen guias especificas de seguridad de la informacidn relevantes para esta practica. Las actividades genéricas de COBIT 5 pueden usarse como 
guia adicional. 
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APENDICE B 
GuiA DETALLADA: CATALIZADOR DE PROCESOS 


BAIO1 — Practicas, Entradas/Salidas y Actividades especificos de Seguridad del Proceso (cont.) 


Entradas especificas de seguridad 
(Adicionales a las Entradas COBIT 5) 


| De Descripcién Descripcién 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


Salidas especificas de seguridad 
(Adicionales a las Salidas COBIT 5) 


Practica de Gestion 


BAI01.07. Lanzar e iniciar proyectos dentro de un 
programa. 

Definir y documentar la naturaleza y el alcance del 
proyecto para confirmar y desarrollar entre las partes 
interesadas un entendimiento comun del alcance del 
proyecto y como este se relaciona con otros proyectos 
dentro del programa general de inversiones de TI. La 
definicién deberia estar formalmente aprobada por el 
patrocinador del programa y del proyecto. 


0. No existen guias especificas de seguridad de la informacion relevantes para esta practica. Las actividades genéricas de COBIT 5 pueden usarse como 
guia adicional. 


Practica de Gestion 


BAI01.08.Planificar Proyectos. 
Establecer y mantener un plan de proyecto formal, 


Plan de proyecto BAIO1.10 


incluyendo las metas, 


aprobado e integrado (que cubra los recursos del 
negocio y de Tl) para guiar la ejecucion del proyecto 

y controlarlo durante toda su vida. El alcance de los 
proyectos deberia estar claramente definido y vinculado 
claramente a la construccién o aumento de la capacidad 


del negocio. BAIO1.04 


Caso de negocio conceptual 
del programa incluyendo las 
actividades obligatorias de 

seguridad de la informacion 


Plan conceptual del 
programa incluyendo las 
actividades obligatorias de 


seguridad de la informacion 


objetivos y requerimientos 
de seguridad de la 
informacion 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Integrar la seguridad de la informacién en la gestion de proyectos de TI y de negocio 


Entradas especificas de seguridad Salidas especificas de seguridad 
(Adicionales a las Entradas COBIT 5) (Adicionales a las Salidas COBIT 5) 


Practica de Gestion 


BAI01.09 Gestionar la calidad de los programas y 
proyectos. 

Preparar y ejecutar un plan y procesos y practicas 

de gestion de la calidad, alineadas con el SGC que 
describa el enfoque de calidad del programa y del 
proyecto y cémo sera implementado. El plan deberia 
ser formalmente revisado y acordado por todas las 
partes afectadas y, después, incorporado a los planes 
integrados del programa y los proyectos. 


Practica de Gestion 


BAI01.10 Gestionar el riesgo de los programas y BAIO1.08 
proyectos. 

Eliminar o minimizar los riesgos especificos asociados 

con los programas y proyectos mediante un proceso 

sistematico de planificacién, identificacion, andlisis, 

respuesta, supervision y control de las areas 0 eventos 

que tienen el potencial de causar cambios no deseados. 

Los riesgos enfrentados por la administracion del 

programa y los proyectos deberian ser establecidos y 

registrados en un unico punto. 


Descripcién Descripcién 


Plan de proyecto 
incluyendo las metas, 
Objetivos y requerimientos 
de seguridad de la 
informacion 


Registro de riesgos Interno 
de seguridad de la 

informacion incluido como 

parte del registro general 


de riesgos del proyecto 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


1. Establecer un registro de riesgos de informacidn y acciones correctivas para los riesgos identificados. Actualizar y revisar periddicamente el registro de riesgos. 


2. Integrar los proyectos de seguridad de la informacion en el proceso de gestién de programas y proyectos de la empresa. 
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BAIO1 — Practicas, Entradas/Salidas y Actividades especificos de Seguridad del Proceso (cont.) 


Entradas especificas de seguridad Salidas especificas de seguridad 
(Adicionales a las Entradas COBIT 5) (Adicionales a las Salidas COBIT 5) 


Practica de Gestion 
BAIO1.11 Supervisar y controlar proyectos. AP001.03 Politicas de seguridad de | Informe de evaluacién de | Interno 
Medir el desempefio del proyecto versus los criterios la informacion y afines proyectos de seguridad 

clave de rendimiento del proyecto, tales como la F de la informacion 

planificacion, la calidad, el coste y el riesgo. Evaluar EES ee ou identificando las 

el impacto de las desviaciones en el proyecto y el debilidades de control y 

programa general e informar los resultados a las partes | APO12.03 Perfil de riesgo de los planes de acciones 


interesadas clave. seguridad de la correctivas recomendadas 
informacion 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Realizar evaluaciones periddicas independientes de los proyectos para asegurar que los requisitos de seguridad de la informacion son implementados 


efectivamente. 
Entradas especificas de seguridad Salidas especificas de seguridad 
(Adicionales a las Entradas COBIT 5) (Adicionales a las Salidas COBIT 5) 


BAI01.12 Gestionar los recursos y los paquetes de 
trabajo del proyecto. 

Gestionar los paquetes de trabajo del proyecto mediante 
requerimientos formales de autorizacion y aceptacion de 
los paquetes de trabajo, y asignando y coordinando los 
recursos de negocio y de Tl adecuados. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
0. No existen guias especificas de seguridad de la informacion relevantes para esta practica. Las actividades genéricas de COBIT 5 pueden usarse como 


guia adicional. 
Entradas especificas de seguridad Salidas especificas de seguridad 
(Adicionales a las Entradas COBIT 5) (Adicionales a las Salidas COBIT 5) 


BAIO1.13 Cerrar un proyecto o iteracién. 

Solicitar a las partes interesadas del proyecto, al final 
de cada proyecto, version o iteracion, que evaluen si 

el proyecto, la version o la iteracién entregaron los 
resultados y valor planeados. Identificar y comunicar 
cualquier actividad pendiente necesaria para lograr los 
resultados del proyecto y los beneficios del programa 
planeados, identificar y documentar las lecciones 
aprendidas para utilizar en futuros proyectos, versiones, 
iteraciones y programas. 
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Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
0. No existen guias especificas de seguridad de la informacion relevantes para esta practica. Las actividades genéricas de COBIT 5 pueden usarse como 


guia adicional. 
Entradas especificas de seguridad Salidas especificas de seguridad 
(Adicionales a las Entradas COBIT 5) (Adicionales a las Salidas COBIT 5) 
Practica de Gestion 


BAI01.14 Cerrar un programa. 

Eliminar el programa del portafolio de inversiones 
activas cuando haya acuerdo de que el valor deseado 
ha sido logrado o cuando esté claro que no sera logrado 
con los criterios de valor establecidos para el programa. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


0. No existen guias especificas de seguridad de la informacion relevantes para esta practica. Las actividades genéricas de COBIT 5 pueden usarse como 
guia adicional. 


Para mas informacion respecto a los catalizadores relacionados, por favor consultar: 
¢ Apéndice E. Guia Detallada: Catalizador de Informacion, E.4. Plan de Seguridad de la Informacion, E.6. Requisitos de Seguridad de la Informacion. 
 Apéndice G. Guia Detallada: Catalizador de Personas, Habilidades y Competencias, G.3. Gestién de Riesgos de la Informacion. 
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APENDICE B 
GuiA DETALLADA: CATALIZADOR DE PROCESOS 


Area: Gestion 
BAIO2 Gestionar la Definicién de Requisitos Dominio: Construir, Adquirir e Implementar 
Descripcién del Proceso COBIT 5 
Identificar soluciones y analizar requisitos antes de la adquisicién o creacién para asegurar que estén en linea con los requerimientos estratégicos de 
la organizacion y que cubren los procesos de negocio, aplicaciones, informacién/datos, infraestructura y servicios. Coordinar con las partes interesadas 
afectadas la revision de las opciones viables, incluyendo costes y beneficios relacionados, andlisis de riesgo y aprobacion de los requisitos y soluciones 
propuestas. 


Declaracion del Propdsito del Proceso COBIT 5 
Crear soluciones viables y 6ptimas que cumplan con las necesidades de la organizacion mientras minimizan el riesgo. 


BAIO2 Objetivos y Métricas de Proceso especificos de seguridad 


Objetivos de Proceso especificos de Seguridad Métricas Relacionadas 


1. Se ha identificado e implementado todos los aspectos de seguridad de | © Porcentaje de nuevos requerimientos de seguridad de la informacion 
la informacién relevantes como requisitos técnicos y funcionales. afiadidos por requerimiento del negocio 
e Porcentaje de requerimientos redefinidos debido a los requerimientos de 
seguridad de la informacion 


2. Se ha detectado y afadido el riesgo de informacién asociado con Nuevos riesgos de seguridad de la informacion identificados. 
requisitos técnicos y funcionales de negocio. ¢ Numero de incidentes de seguridad de la informacion que indiquen 
riesgos nuevos 0 desconocidos 
© Numero de incidentes de seguridad de la informacién basados en 
riesgos conocidos 


BAIO2 Practicas, Entradas/Salidas y Actividades especificos de Seguridad del Proceso 
Entradas especificas de seguridad Salidas especificas de seguridad 
(Adicionales a las Entradas COBIT 5) (Adicionales a las Salidas COBIT 5) 


BAIO2.1 Definir y mantener los requisitos técnicos y | APO01.03 Politicas de seguridad de | Requerimientos AP002.03 
funcionales de negocio. la informacion y afines de seguridad de la AP004.04 


Based on the business case, identify, prioritise, : F informacion AP007.06 
specify and agree on business information, functional, AP008.05 
technical and control requirements covering the APO09.05 
scope/understanding of all initiatives required to achieve | APO02.06 Plan de seguridad de la BAIO1.01 
the expected outcomes of the proposed IT-enabled informacion BAI02.04 


business solution. MEA03.01 Requerimientos externos al 
de cumplimiento 
: BAI03.07 
de seguridad de la BAIO3.09 
informacion BAI04.03 
BAIO5.01 
MEA01.01 
MEA03.01 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Investigar, definir y documentar los requisitos de seguridad de la informacién p.ej. requisitos de confidencialidad, integridad y disponibilidad. 


2. Investigar y analizar los requisitos de seguridad de la informacién con las partes interesadas, patrocinadores de negocio y personal de implementacion 
técnica. 


3. Asegurar que los requisitos de negocio tienen en cuenta las necesidades de proteccién de seguridad de la informacién. 


Entradas especificas de seguridad Salidas especificas de seguridad 
(Adicionales a las Entradas COBIT 5) (Adicionales a las Salidas COBIT 5) 


Practica de Gestion | De Descripcion Descripcion | A 


BAI02.02 Realizar un estudio de viabilidad y BAIO1.01 Requerimientos Resultados del estudio de | Interno 
proponer soluciones alternativas. de seguridad de la viabilidad 

Realizar un estudio de viabilidad de las potenciales informacion en el estudio 

soluciones alternativas, evaluando su viabilidad y de viabilidad 

seleccionando la opcién preferida. Si se considera, 

implementar la opcién seleccionada como un piloto para 

determinar posibles mejoras. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Asegurar que los requisitos de seguridad de la informacién son incluidos en el estudio de viabilidad 
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COBIT®@ para Securipan DE LA INFORMACION 


BAIO2 Practicas, Entradas/Salidas y Actividades especificos de Seguridad del Proceso (cont.) 


Entradas especificas de seguridad Salidas especificas de seguridad 
(Adicionales a las Entradas COBIT 5) (Adicionales a las Salidas COBIT 5) 


BAI02.03 Gestionar los riesgos de los AP012.03 Perfil de riesgo de Acciones de mitigacion del | Interno 
requerimientos. seguridad de la riesgo 

Identificar, documentar, priorizar y mitigar los riesgos informacion 

funcionales y técnicos relativos al procesamiento de la 

informaci6n y asociados con los requerimientos de la 

empresa y solucion propuesta. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


1. Realizar una evaluacion de riesgos de la informacion para identificar los controles de seguridad de la informacion para las actividades relevantes del 
negocio (gestidn del programa y proyectos incluidos). 


2. Cooperar con el responsable de riesgos para gestionar los riesgos de la informacion. 


Entradas especificas de seguridad Salidas especificas de seguridad 
(Adicionales a las Entradas COBIT 5) (Adicionales a las Salidas COBIT 5) 


Practica de Gestion | De | Descripcion | _—Descripcisn | 


BAI02.04 Obtener la aprobacion de los BAIO2.01 Requerimientos Aprobacidn de los Interno 
requerimientos y soluciones. de seguridad de la requerimientos de 

Coordinar la realimentacién de las partes interesadas informacion seguridad de la 

afectadas y, en las fases clave predeterminadas, obtener informacion 

la aprobacion y la firma del patrocinador o propietario 

del producto y cierre de los requerimientos técnicos y 

funcionales, de los estudios de viabilidad, de los andlisis 

de riesgos y de las soluciones recomendadas. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


1.Validar los requerimientos de seguridad de la informacién con las partes interesadas, patrocinadores de negocio y personal técnico de 
implementacion. 


Para mas informacion respecto al catalizador relacionado, por favor consultar: 
e Apéndice E. Guia Detallada: Catalizador de Informacion, E.6. Requisitos de Seguridad de la Informacion. 
¢ Apéndice G. Guia Detallada: Catalizador de Personas, Habilidades y Competencias, G.3. Gestion de Riesgos de la Informacion. 


Construir, Adquirir e Implementar 
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APENDICE B 
GuiA DETALLADA: CATALIZADOR DE PROCESOS 


Area: Gestion 
BAIO3 Gestionar Ia Identificacion y Construcci6n de Soluciones Dominio: Construir, Adquirir e Implementar 


Descripcién del Proceso COBIT 5 

Establecer y mantener soluciones identificadas en linea con los requisitos de la empresa que abarcan el disefio, desarrollo, compras/contratacion 
y asociacion con proveedores/fabricantes. Gestionar la configuraci6n, preparacion de pruebas, realizacién de pruebas, gestion de requerimientos y 
mantenimiento de procesos de negocio, aplicaciones, datos/informacion, infraestructura y servicios. 


Declaracion del Propdsito del Proceso COBIT 5 
Establecer soluciones puntuales y rentables capaces de soportar los objetivos estratégicos y operativos de la empresa. 


BAIO3 Objetivos y Métricas de Proceso especificos de seguridad 


Objetivos de Proceso especificos de seguridad Métricas Relacionadas 


1. Las métricas de seguridad de la informacién se incorporan en la ¢ Numero de disefios de la solucién afadidos debido a los requerimientos 
solucién y apoyan de manera eficaz la estrategia de negocio y los de seguridad de la informacién 
Objetivos operacionales. © Numero de excepciones de seguridad en el disefio y en la 
implementacién 


2. Las soluciones en seguridad de la informacién se aceptan y se han ¢ Numero de pruebas adicionales para la seguridad de la informacién 
probado de manera satisfactoria. 

3. Los cambios en los requerimientos de seguridad de la informacion se ¢ Numero de cambios aprobados relativos a requerimientos de seguridad 
incorporan correctamente a la solucion. de la informacion 

BAIO3 Practicas, Entradas/Salidas y Actividades especificos de Seguridad del Proceso 


Entradas especificas de seguridad (Adicionales | Salidas especificas de seguridad 
a las Entradas COBIT 5) (Adicionales a las Salidas COBIT 5) 


técnicas de desarrollo agil o por fases apropiadas y viabilidad la informacion 


acordadas. Asegurar el alineamiento con la estrategia Tl ae en linea con los 
y la arquitectura empresarial. Revalorar y actualizar los BAIO2.01 deh abate _,__ | disefios de alto 
disefios cuando sucedan cuestiones significativas durante Seguridad de la informacion nivel 

las fases de disefio detallado o de construccién o segun la 

solucién evolucione. Asegurar que las partes interesadas 


BAI03.01 Disefiar soluciones de alto nivel. BAIO1.01 Requerimientos de Especificaciones BAI03.02 
Desarrollar y documentar disefios de alto nivel usando seguridad en el estudio de | de seguridad de 


participen activamente en el disefio y en la aprobacién de 
cada version. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Definir las especificaciones de seguridad de la informacién en linea con el disefio de alto nivel. 


Entradas especificas de seguridad (Adicionales | Salidas especificas de seguridad 
ca las Entradas COBIT aN (Adicionales a las Salidas COBIT 5) 


BAI03.02 Disefiar los componentes detallados de la 2 Especificaciones de Disefio de la BAI03.03 
solucion. seguridad de la informacion | seguridad de la 

Desarrollar, documentar y elaborar disefios detallados en linea con los disefios de | informacién en los 
progresivamente usando técnicas de desarrollo agiles alto nivel componentes de la 

0 por fases acordadas previamente considerando todos solucién 

los componentes (procesos de negocio y controles 

automaticos 0 manuales relacionados, aplicaciones soporte 

de Tl, servicios de infraestructura y productos tecnoldgicos 

y proveedores/fabricantes). Asegurar que el disefio 

detallado incluye ANSs y OLAs internos Y externos. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Integrar el disefio de la seguridad de la informacion en los componentes de la solucidn. 
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COBIT®@ para Securipap de LA INFORMACION 


BAIO3 Practicas, Entradas/Salidas y Actividades especificos de Seguridad del Proceso (cont.) 


Entradas especificas de seguridad (Adicionales | Salidas especificas de seguridad 
a las Entradas COBIT 5) (Adicionales a las Salidas COBIT 5) 
Practica de Gestion | De Descripcién Descripcién 


BAI03.03 Desarrollar los componentes de Ia soluci6n. BAI03.02 Disefio de la seguridad Practicas de Interno 
Desarrollar los componentes de la solucién de la informacién en los programacion 
progresivamente conforme el disefo detallado siguiendo componentes de la solucién | y bibliotecas de 

los métodos de desarrollo, estandares de documentaci6n, infraestructura 
requerimientos de calidad (QA) y estandares de aprobacion. seguras 

Asegurar que se consideran todos los requerimientos 

de control en los procesos de negocio, soportando las 

aplicaciones Tl y servicios de infraestructura, productos 

tecnoldgicos y servicios y proveedores/suministradores. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Verificar que todos los componentes de la soluci6n incorporan practicas de programacién y bibliotecas de infraestructura seguras. 


Entradas especificas de seguridad (Adicionales | Salidas especificas de seguridad 
a las Entradas COBIT 5) (Adicionales a las Salidas COBIT 5) 
Practica de Gestion | = De =~] ——sescripcion = Descripcion 
BAI03.04 Obtener los componentes de la solucion. AP010.01 Catalogo de proveedores Requerimientos Interno 


Obtener los componentes de la solucion sobre la base del = de seguridad de 
plan de adquisiciones y conforme a los requerimientos y BAK2-01 Se ae riiacién la informacion 
disefios detallados, principios de arquitectura y estandares g dentro del plan de 
y en los procedimientos generales contractuales y de adquisiciones 
adquisiciones de la empresa, requerimientos de calidad 

(QA) y estandares de aprobacién. Asegurar que todos los 


requerimientos legales y contractuales son identificados y 
cumplidos por el proveedor . 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


1. Asegurar que los requerimientos de seguridad forman parte del plan de adquisiciones y que se han realizado unas evaluaciones de seguridad de la 
informacion apropiadas. 


Entradas especificas de seguridad (Adicionales | Salidas especificas de seguridad 
a las Entradas COBIT 5) (Adicionales a las Salidas COBIT 5) 


Practica de Gestién 


BAI03.05 Construir soluciones. Soluciones seguras | Interno 
Instalar y configurar las soluciones e integrarlas con las 

actividades de los procesos de negocio. Implementar 

controles, medidas de seguridad y “auditabilidad” durante 

la configuracion y durante la integracion del hardware e 

infraestructura del el software para proteger los recursos 

y asegurar la disponibilidad e integridad de los datos. 

Actualizar el catalogo de servicios para reflejar la nueva 

situacion. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Verificar que los aspectos de la seguridad de la informacion estan incluidos en la construccion de la solucion. 


Entradas especificas de seguridad (Adicionales | Salidas especificas de seguridad 
a las Entradas COBIT 5) (Adicionales a las Salidas COBIT 5) 
Practica de Gestion | De Descripcion Descripcion 


BAI03.06 Realizar controles de calidad. APO11.02 Estandares de calidad Resultados, Interno 
Desarrollar y ejecutar un plan de calidad (QA) alineado con para la seguridad de la excepciones y 
el SGC para obtener la calidad especificada en la definicion informacion correcciones de 
de los requerimientos y de acuerdo a las politicas y la revision de 
procedimientos de calidad de la empresa. la calidad de la 
seguridad de 
informacion 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 





1. Verificar que los aspectos de la seguridad de la informacidn estan incluidos en el aseguramiento de la calidad. 


124 


APENDICE B 
GuiA DETALLADA: CATALIZADOR DE PROCESOS 


BAIO3 Practicas, Entradas/Salidas y Actividades especificos de Seguridad del Proceso (cont.) 


Practica de Gestion | De Descripcion 


BAI03.07 Preparar pruebas de la solucion. BAI02.01 Requerimientos de Casos de prueba de | Interno 
Establecer un plan de pruebas y entornos necesarios seguridad de la informacion | la seguridad de la 

para probar los componentes individuales y de la solucién informacion 

integrada, incluyendo los procesos de negocio y servicios, 

aplicaciones e infraestructura que los soportan. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Incluir los casos de prueba de seguridad de la informacién en los planes de pruebas. 


Practica de Gestion | De Descripcion 


BAI03.08 Ejecutar pruebas de la solucion. AP001.03 Politicas de seguridad de la | Informe de Interno 
Ejecutar pruebas continuamente durante e! desarrollo, incluyen- informacion y afines aceptacion de la 

do pruebas de control, en concordancia con el plan de pruebas seguridad 

y con las practicas de desarrollo en el entorno apropiado. Hacer 

participes a los duefios de los procesos de negocio y usuarios 

finales en el equipo de pruebas. Identificar, registrar y priorizar 

los errores e incidentes identificados durante las pruebas. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


1. Garantizar la seguridad de la informacion de todos los datos de produccidn usados en los casos de prueba, incluyendo la utilizacién de un proceso 
seguro para desnaturalizar los datos sensibles antes de su uso. 


Practica de Gestion | De Descripcién 


BAI03.09 Gestionar cambios a los requerimientos. BAIO2.01 Requerimientos de Registro de todas __‘| Interno 
Hacer seguimiento del estado de los requerimientos seguridad de la informacion | las peticiones de 

individuales (incluyendo todos los requerimientos cambios aprobadas 
rechazados) a través de todo el ciclo de vida del proyecto y y aplicadas 

gestionar la aprobacidn de los cambios a los requerimientos. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Gestionar los cambios en los aspectos y requerimientos de la seguridad de la informacion. 


Entradas especificas de seguridad (Adicionales | Salidas especificas de seguridad 
a las Entradas COBIT 5) (Adicionales a las Salidas COBIT 5) 
Practica de Gestion Descripcion 


BAI03.10 Mantener soluciones. Soluciones seguras | Interno 
Desarrollar y ejecutar un plan para el mantenimiento de actualizadas 

la solucion y componentes de la infraestructura. Incluir 

revisiones periddicas respecto a las necesidades del 

negocio y requerimientos operacionales. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Asegurar que las actualizaciones de los requerimientos de seguridad de la informacion se reflejan en las actualizaciones de mantenimiento de las soluciones. 


Entradas especificas de seguridad (Adicionales | Salidas especificas de seguridad 
a las Entradas COBIT 5) (Adicionales a las Salidas COBIT 5) 


BAI03.11 Definir los servicios de Tl y mantener el Modelo de cataliza- | Roles y responsabilidades Servicios de APO09.03 
catalogo de servicios. dores de estructu- seguridad de la APO09.04 
Definir y acordar nuevos servicios Tl 0 cambios y opciones | ras organizativas informacion 

de nivel de servicio. Documentar nuevas definiciones 0 
cambios en los servicios y opciones de nivel de servicio 
que seran actualizadas en el catalogo de servicios. 


Fuera de COBIT5 | ¢ Misidn/Visién de negocio 
para Seguridad de |} @ Metas y objetivos de negocio 
la Informacion 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Definir los servicios de seguridad de la informacion en concordancia con las necesidades de negocio y las necesidades de cumplimiento o normativas. 
2. Definir los procesos de seguridad de la informacion dentro de los servicios de TI. 


Para mas informacion relativa a los catalizadores, por favor consultar: 
 Apéndice F. Guia Detallada: Catalizador de Servicios, Infraestructura y Aplicaciones. 
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APENDICE B 
GuiA DETALLADA: CATALIZADOR DE PROCESOS 


Area: Gestion 
BAIO4 Gestionar la Disponibilidad y la Capacidad Dominio: Construir, Adquirir e Implementar 
Descripcién del Proceso COBIT 5 
Equilibrar las necesidades actuales y futuras de disponibilidad, rendimiento y capacidad con una provision de servicio efectiva en coste. Incluir la 
evaluacion de las capacidades actuales, la prevision de necesidades futuras basadas en los requerimientos de negocio, el andlisis del impacto en el 
negocio y la evaluacion del riesgo para planificar e implementar acciones para alcanzar los requerimientos identificados. 


COBIT 5 Process Purpose Statement 
Mantener la disponibilidad del servicio, la gestion eficiente de recursos y la optimizacion del rendimiento de los sistemas mediante la prediccion del 
rendimiento futuro y de los requerimientos de capacidad. 


BAI04 Objetivos y Métricas de Proceso especificos de seguridad 


Objetivos de Proceso especificos de seguridad Métricas Relacionadas 


1. Los requerimientos de seguridad de la informacion se incluyen en los © Porcentaje de compromisos de seguridad de la informacion alcanzados. 
planes de disponibilidad, rendimiento y gestion de la capacidad. 


2. Se monitoriza y optimiza el impacto de la seguridad de la informacion © Porcentaje de incidentes de disponibilidad, rendimiento y capacidad por 
sobre la disponibilidad, el rendimiento y la capacidad. afio causados por los controles de seguridad de la informacion. 


BAI04 Practicas, Entradas/Salidas y Actividades especificos de Seguridad del Proceso 


Entradas especificas de seguridad Salidas especificas de seguridad 
(Adicionales a las Entradas COBIT 5) (Adicionales a las Salidas COBIT 5) 
Practica de Gestion | De ~—s | —seescripcion Descripcién 


BAI04.01 Evaluar la disponibilidad, rendimiento y AP002.02 Capacidades de seguridad | Listado de problemas BAI04.02 
capacidad actual y crear una linea de referencia. de la informacion de seguridad de la 

Evaluar la disponibilidad, el rendimiento y la capacidad informacion técnicos y 

de los servicios y recursos para asegurar que se procedimentales relativos 

encuentra disponible una capacidad y un rendimiento a la disponibilidad, el 

justificables en costes para dar soporte a las rendimiento y la capacidad 
necesidades del negocio y para entregar el servicio de 

acuerdo a los ANSs. Crear lineas de referencia para 

la disponibilidad, el rendimiento y la capacidad para 

comparaciones futuras. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Identificar los problemas de seguridad de la informacion técnicos y procedimentales relativos a la disponibilidad, el rendimiento y la capacidad.. 


Entradas especificas de seguridad Salidas especificas de seguridad 
(Adicionales a las Entradas COBIT 5) (Adicionales a las Salidas COBIT 5) 
Practica de Gestion | De ~—s | —séeescripcion Descripcion 


BAI04.02 Evaluar el impacto en el negocio. BAI04.01 Listado de problemas Evaluaciones del impacto | BAI04.03 
Identificar los servicios importantes para la empresa, de seguridad de la de la seguridad de 

mapear los servicios y recursos con los procesos de informaci6n técnicos y la informacion sobre 

negocio e identificar las dependencias de negocio. procedimentales relativos | la disponibilidad, el 

Asegurar que el impacto de la indisponibilidad de a la disponibilidad, el rendimiento y la capacidad 

recursos esta acordado y aceptado por el cliente. rendimiento y la capacidad 

Asegurar que, para las funciones vitales del negocio, los 

requisitos de disponibilidad definidos en el ANS pueden 

ser satisfechos. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Evaluar el impacto en la seguridad de la informacion de potenciales faltas de disponibilidad, pérdidas de rendimiento y faltas de capacidad en la 


seguridad de la informacion. 
Entradas especificas de seguridad Salidas especificas de seguridad 
(Adicionales a las Entradas COBIT 5) (Adicionales a las Salidas COBIT 5) 
Practica de Gestion | De ~—|—seescripcion = Descripcién 


BAI04.03 Planificar para requisitos de servicios BAIO2.01 Requerimientos Actualizaciones en Interno 
nuevos 0 modificados. de seguridad de la los requerimientos 
Planificar y priorizar las implicaciones en la informacion de seguridad de la 


disponibilidad, el rendimiento y la capacidad de cambios : ; informacion 
en las necesidades del negocio y en los requerimientos | BAl04.02 A ientin del impacto 
de servicio. ela Sis eri sed 

la informacion sobre 

la disponibilidad, el 

rendimiento y la capacidad 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Evaluar el impacto de requerimientos nuevos 0 modificados en la seguridad de la informacion. 
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COBIT®@ para Securipan DE LA INFORMACION 


BAI04 Practicas, Entradas/Salidas y Actividades especificos de Seguridad del Proceso (cont) 


Entradas especificas de seguridad Salidas especificas de seguridad 
(Adicionales a las Entradas COBIT 5) (Adicionales a las Salidas COBIT 5) 


Practica de Gestion | De Descripcion Descripcion | aA 


BAI04.04 Supervisar y revisar la disponibilidad y la 
capacidad. 

Supervisar, medir, analizar, informar y revisar la 
disponibilidad, el rendimiento y la capacidad. Identificar 
desviaciones respecto a la linea base establecida. 
Revisar informes de analisis de tendencias identificando 
cualquier cuestidn y variacion significativa, iniciando 
acciones donde sea necesario y asegurando que 

se realiza el seguimiento de todas las cuestiones 
pendientes. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
0. No existen guias especificas de seguridad de la informacion relevantes para esta practica. Las actividades genéricas de COBIT 5 pueden usarse como 


guia adicional. 
Entradas especificas de seguridad Salidas especificas de 
(Adicionales a las Entradas COBIT 5) (Adicionales a las Salid 


seguridad 
jas COBIT 5) 
[_Descricion | —_—Descricion | A 


BAI04.05 Investigar y abordar cuestiones de Actualizaciones de las Interno 
disponibilidad, rendimiento y capacidad. acciones correctivas para 

Abordar las desviaciones investigando y resolviendo resolver las cuestiones 

las cuestiones identificadas relativas a disponibilidad, relativas a la capacidad 

rendimiento y capacidad. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


Practica de Gestion 


1. Valorar e investigar cualquier cuestion relativa a la seguridad de la informacion que impacte en la disponibilidad, el rendimiento y la capacidad. 
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APENDICE B 
GuiA DETALLADA: CATALIZADOR DE PROCESOS 


Area: Gestion 
Dominio: Construir, Adquirir e Implementar 


BAIO5 Gestionar la Introduccion del Cambio Organizativo 


Descripcién del Proceso COBIT 5 
Maximizar la probabilidad de la implementacion exitosa en toda la empresa del cambio organizativo de forma rapida y con riesgo reducido, cubriendo el 
ciclo de vida completo del cambio y a todas las partes interesadas del negocio y de Tl. 


Declaracion del Propdsito del Proceso COBIT 5 
Preparar y comprometer a las partes interesadas para el cambio en el negocio y reducir el riesgo de fracaso. 


BAI05 Objetivos y Métricas de Proceso especificos de seguridad 


Objetivos de Proceso especificos de seguridad Métricas Relacionadas 


1. Las alertas y tendencias en seguridad de la informacion son usadas de 
manera eficaz para facilitar el cambio en la organizacion e influir sobre 
la cultura corporativa en relacién a la seguridad de la informacion. 


© Nivel de implicacion de la alta direccion en los programas y estrategias 
de seguridad de la informacion 
© Nivel de satisfaccién de los actores que operan, utilizan y mantienen el 


cambio 
e Porcentaje de usuarios formados adecuadamente para los cambios en 
seguridad de la informacion como parte del cambio organizacional 


2. Los protocolos relativos a la seguridad de la informacién se revisan 
y afinan como cambios corporativos a través de procesos de 
concienciacion en el ambito de la seguridad de la informacion. 


° Nivel de satisfaccion de los usuarios con la adopcidn del cambio 


BAI05 Practicas, Entradas/Salidas y Actividades especificos de Seguridad del Proceso 


Entradas especificas de seguridad Salidas especificas de seguridad 
(Adicionales a las Entradas COBIT 5) (Adicionales a las Salidas COBIT 5) 
Pde | __Descripoion | _——Desorncion «| 


AP001.03 Politicas de seguridad de | © Plande comunicaciéon Interno 
la informacion y afines con la alta direccion 
= © Procesos de control del 
Bele hice in cambio acordados en 
ii ic linea con guias de buenas 


practicas 


Practica de Gestion 


BAI05.01 Establecer el deseo de cambiar. 
Comprender el alcance e impacto del cambio divisado 
y la disposicién/voluntad de cambiar de las partes 
interesadas. Identificar las acciones para motivar a las 
partes interesadas para aceptar y querer que el cambio 
sea exitoso. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Establecer una cultura proactiva en seguridad de la informacion 


2. Identificar y comunicar los puntos criticos o débiles relativos a seguridad de la informacion y también los comportamientos deseables, incluyendo los 
cambios necesarios para abordar estos puntos. 


3. Proporcionar liderazgo visible a través del compromiso de la alta direccidn (al mas alto nivel, CxO) con la seguridad de la informaci6n para facilitar los 


cambios. 
Entradas especificas de seguridad 
(Adicionales a las Entradas COBIT 5) 

| de | _——_—iescripcién | 


Fuera del Habilidades personales 
ambito de 

COBIT 5 para 

Seguridad de la 

Informacion 


Salidas especificas de seguridad 
(Adicionales a las Salidas COBIT 5) 


Interno 


Practica de Gestion Descripcion 


BAI05.02 Formar un equipo de implementacion 
efectivo. 

Establecer un equipo de implementacion efectivo, 
con miembros adecuados, creando confianza y 
estableciendo metas comunes y medidas efectivas. 


Equipos de 
implementacién 
de seguridad de la 
informacion 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Designar profesionales de la seguridad de la informacion cualificados para servir en los equipos de implementacion. 
2. Desarrollar una visi6n comun para todo el equipo de seguridad de la informacion. 


Entradas especificas de seguridad Salidas especificas de seguridad 
(Adicionales a las Entradas COBIT 5) (Adicionales a las Salidas COBIT 5) 
| de |_——_—iDescripcién ——|__—Descripcion =| AC 


AP002.06 Plan de seguridad de la Plan de comunicaci6n BAI05.04 
informacion de la vision referente 


Fuera del Declaraciones corporativas ce dela 
ambito de de la visién/mision 

COBIT 5 para 

Seguridad de la 

Informacion 


Practica de Gestion 


BAI05.03 Comunicar la vision deseada. 

Comunicar la visién deseada para el cambio en el 
lenguaje de aquellos que se veran afectados. La 
comunicaci6n deberia ser realizada por la alta direccion 
e incluir la razon de ser y los beneficios del cambio, 

el impacto de no hacerlo y la vision, la hoja de ruta 

y la participacion requerida de las diversas partes 
interesadas. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Comunicar la vision relativa a seguridad de la informacion como apoyo a la vision corporativa. 
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COBIT®@ para Securipap dE LA INFORMACION 


Entradas especificas de seguridad Salidas especificas de seguridad 
(Adicionales a las Entradas COBIT 5) (Adicionales a las Salidas COBIT 5) 


Practica de Gestion | De Descripcion 


BAI05.04 Facultar a los que juegan algun papel e AP002.05 Hoja de ruta estratégica Lista de los beneficios BAI05.05 
identificar ganancias en el corto plazo. de seguridad de la potenciales a corto plazo 
Facultar a aquellos con roles en la implementacion informacion 


asegurando que se han asignado las responsabilidades, ; 
se ha dado formacion y se han alineado las estructuras AP002.06 fale las de la 
organizativas y procesos de RRHH. Identificar y 


comunicar ganancias en el corto plazo que pueda ser BAI05.03 Plan de comunicacién 
realizadas y resulten importantes desde una perspectiva de la vision relativa 
de posibilitar el cambio. a seguridad de la 


informacion 


BAIO5 Practicas, Entradas/Salidas y Actividades especificos de Seguridad del Proceso (cont.) 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Alinear las practicas de seguridad de la para apoyar la vision. 


2. Asignar de manera clara la responsabilidad de cada persona del equipo e incluir criterios de rendimiento para a establecer quiénes son los 
responsables de que se lleve a cabo el proceso. 


Practica de Gestion 


BAI05.05 Facilitar la operacion y el uso. BAI05.04 Lista de los beneficios Medidas practicas BAI05.06 
Planificar e implementar todos los aspectos técnicos, potenciales a corto plazo ‘| de seguridad de la 

operativos y de modo de uso de forma que todos informacion 

aquellos involucrados en el entorno futuro puedan 

ejercer sus responsabilidades. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Desarrollar medidas practicas de seguridad de la informacion. 


Practica de Gestion 


BAI05.06 Integrar nuevos enfoques. BAI05.05 Medidas practicas Practicas operativas Interno 
Integrar nuevos enfoques mediante el seguimiento de seguridad de la de seguridad de la 

de los cambios implementados, asegurando la informacion informacion 

efectividad del plan de operacion y uso y manteniendo 

un plan de concienciacién mediante comunicaciones 

regulares. Aplicar las medidas correctoras que se 

estime apropiado y que podrian incluir el forzar el 

cumplimiento. 
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Security-specific Activities (in Addition to COBIT 5 Activities) 
1. Hacer seguimiento continuo de la concienciacién en seguridad de la informacién y adaptar pertinentemente las métricas. 


Entradas especificas de seguridad Salidas especificas de seguridad 
(Adicionales a las Entradas COBIT 5) (Adicionales a las Salidas COBIT 5) 


Practica de Gestion | De Descripcion Descripcion 
BAI05.07 Mantener los cambios. Revisiones del uso Interno 
Mantener los cambios mediante la formacion eficaz operativo 
del personal nuevo, campafias de comunicacién 
periddicas, compromiso de Ia alta direcci6n, supervision 


de la adopcidn de los cambios y divulgacion a toda la 
empresa de las lecciones aprendidas. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Informar y formar al nuevo personal y proporcionar sesiones de actualizacion de concienciacién en seguridad de la informacion. 


Para mas informacion respecto a los catalizadores referidos, por favor consultar: 
e Apéndice D. Guia Detallada: Catalizador de Cultura, Etica y Comportamiento 
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APENDICE B 
GuiA DETALLADA: CATALIZADOR DE PROCESOS 


Area: Gestion 
BAIO6 Gestionar los Cambios Dominio: Construir, Adquirir e Implementar 
Descripcién del Proceso COBIT 5 
Gestione todos los cambios de una forma controlada, incluyendo cambios estandar y de mantenimiento de emergencia en relacion con los procesos de 
negocio, aplicaciones e infraestructura. Esto incluye normas y procedimientos de cambio, analisis de impacto, priorizacién y autorizacién, cambios de 
emergencia, seguimiento, informes, cierre y documentacion. 


Declaracion del Propdsito del Proceso COBIT 5 
Posibilitar una entrega de los cambios rapida y fiable para el negocio, al a vez que se mitiga cualquier riesgo que impacte negativamente en la 
estabilidad e integridad del entorno en que se aplica el cambio. 


BAIO6 Objetivos y Métricas de Proceso especificas de seguridad 


Objetivos de Proceso especificos de seguridad Métricas Relacionadas 


1. Los requerimientos de seguridad de la informacién se incorporan ¢ Numero de cambios relevantes en cuanto a seguridad de la informacion 
durante la evaluacion del impacto del cambio en los procesos, y numero de cambios que tengan impacto en la seguridad de la 
aplicaciones e infraestructuras. informacion. 

© Numero de requerimientos de seguridad de la informacién que no se han 
cumplido después del cambio. 


2. Los cambios de emergencia tienen en cuenta los requerimientos ¢ Numero de incidentes de seguridad de la informacion relativos a los 
necesarios de seguridad de la informacion. cambios en el entorno. 
© Numero de incidentes de seguridad de la informacion relativos a 
cambios en hardware y software. 


BAI06 Practicas, Entradas/Salidas y Actividades especificos de Seguridad del Proceso 


Entradas especificas de seguridad Salidas especificas de seguridad 
(Adicionales a las Entradas COBIT 5) (Adicionales a las Salidas COBIT 5) 


BAI06.01 Evaluar, priorizar y autorizar peticiones de | APO01.03 Politicas de seguridad de | Evaluaciones de impacto _‘| Interno 
cambio. la informacion y afines 

Evaluar todas las peticiones de cambio para determinar 

su impacto en los procesos de negocio y los servicios 

Tl, y analizar si el cambio afectara negativamente al 

entorno operativo e introducira un riesgo inaceptable. 

Asegurar que los cambios son registrados, priorizados, 

categorizados, analizados, autorizados, planificados y 

programados. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Asegurar que se realiza una evaluacién del impacto potencial de los cambios en seguridad de la informacién. 
2. Asegurar que la politica de seguridad de la informacion se adapta a los objetivos de negocio de la empresa. 


3. Asegurar que los cambios estan conformes con la politica de seguridad de la informacién. 


4. Desarrollar practicas que tengan en cuenta el impacto de nuevas tecnologias y tendencias en la seguridad de la informacion. 


Entradas especificas de seguridad Salidas especificas de seguridad 
(Adicionales a las Entradas COBIT 5) (Adicionales a las Salidas COBIT 5) 


BAI06.02 Gestionar cambios de emergencia. Revisién de seguridad Interno 
Gestionar cuidadosamente los cambios de emergencia de la informacion post- 

para minimizar futuras incidencias y asegurar que el implementacion de los 

cambio esta controlado y se realiza de forma segura. cambios de emergencia 

Verificar que los cambios de emergencia son evaluados 

debidamente y autorizados de una vez hecho el cambio. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Desarrollar medidas que contemplen los cambios de emergencia y mantenimiento sin comprometer la seguridad de la informacion. 


2. Para asegurar un seguimiento adecuado, mantener un registro de riesgos en la informacién cuando se introduzca un nuevo riesgo a raiz de un cambio 
de emergencia. 
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BAIO6 Practicas, Entradas/Salidas y Actividades especificos de Seguridad del Proceso (cont.) 


Entradas especificas de seguridad Salidas especificas de seguridad 
(Adicionales a las Entradas COBIT 5) (Adicionales a las Salidas COBIT 5) 


BAI06.03 Hacer seguimiento e informar de cambios Informes actualizados del | Interno 
de estado. estado de las solicitudes 

Mantener un sistema de seguimiento e informe que de cambio 

documente los cambios rechazados, comunique el 

estado de cambios aprobados y en proceso y de 

cambios completados. Asegurar que los cambios 

aprobados son implementados como esté previsto. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Abordar las cuestiones de rendimiento y capacidad potenciales resultantes de los cambios propuestos en seguridad de la informacion. 


Entradas especificas de seguridad Salidas especificas de seguridad 
(Adicionales a las Entradas COBIT 5) (Adicionales a las Salidas COBIT 5) 


Descripcion Descripcion 


Practica de Gestion 


BAI06.04 Cerrar y documentar los cambios. 

Siempre que el cambio haya sido implementado, 
actualizar, de manera consecuente, la documentacion de 
la solucion y del usuario, asi como los procedimientos a 
los que afecta el cambio. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


0. No existen guias especificas de seguridad de la informacion relevantes para esta practica. Las actividades genéricas de COBIT 5 pueden usarse como 
guia adicional. 


Para mas informacion respecto a los catalizadores relacionados, por favor consultar: 
 Apéndice A. Guia Detallada: Catalizador de Principios, Politicas y Marcos de Trabajo 
 Apéndice F. Guia Detallada: Catalizador de Servicios 


Construir, Adquirir e Implementar 
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APENDICE B 
GuiA DETALLADA: CATALIZADOR DE PROCESOS 


Area: Gestion 
BAIO7 Gestionar la Aceptacién del Cambio y la Transicion Dominio: Construir, Adquirir e Implementar 
Descripcién del Proceso COBIT 5 
Aceptar formalmente y hacer operativas las nuevas soluciones, incluyendo la planificacion de la implementacion, la conversion de los datos y los 
sistemas, las pruebas de aceptacion, la comunicacidn, la preparacion del lanzamiento, el paso a produccion de procesos de negocio o servicios Tl 
nuevos 0 modificados, el soporte temprano en produccion y una revision post-implementacién. 


Declaracion de Propésito del Proceso COBIT 5 
Implementar soluciones de forma segura y en linea con las expectativas y resultados acordados. 


BAIO7 Objetivos y Métricas de Proceso especificos de Seguridad 


Objetivos de Proceso especificos de Seguridad Métricas Relacionadas 


1. Las pruebas de seguridad de la informacién son parte integral de las e Numero de cambios relacionados con la seguridad de la informacién que 
pruebas de aceptacién. han sido rechazados 0 no han sido implementados 
© Porcentaje de cambios relacionados con la seguridad de la informacion 
aceptados 


2. Las mejoras de seguridad de la informacion identificadas se ¢ Numero de cuestiones abiertas de seguridad de la informacion por 
incorporaran en futuros lanzamientos. lanzamiento 
© Cambios en el numero de cuestiones de seguridad de la informacién no 
resueltas por lanzamiento 
 Porcentaje de pruebas de seguridad de la informacion completadas en 
los cambios 


BAIO7 Practicas, Entradas/Salidas y Actividades especificos de Seguridad del Proceso 


Entradas especificas de seguridad Salidas especificas de seguridad 
(Adicionales a las Entradas COBIT 5) | (Adicionales a las Salidas COBIT 5) 


BAIO7.01 Establecer un plan de implementacion. Fuera del Plan de Plan de Interno 
Establecer un plan de implementacion que cubra la conversion ambito de Implementacion TI Implementacion Tl 
de datos y sistemas, criterios de aceptacion de las pruebas, COBIT 5 para actualizado 


comunicacion, formacion, preparacién del lanzamiento, paso a Seguridad de la 
produccion, soporte inicial en producci6n, plan de marcha atras Informacion 

0 de contingencia y una revision post-implantacion. Obtener la 

aprobacidn de las partes relevantes. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Incluir aspectos de seguridad de la informacion en la aceptacion y en el plan de implementaci6n de la transicion. 


Entradas especificas de seguridad Salidas especificas de seguridad 
(Adicionales a las Entradas COBIT 5) | (Adicionales a las Salidas COBIT 5) 


BAI07.02 Planificar la conversion de procesos de negocio, 
sistemas y datos. 

Preparar la migracidn de procesos de negocio, datos de los 
servicios de TI e infraestructuras como parte de los mecanismos 
de desarrollo de la empresa, incluyendo registros de auditoria y un 
plan de recuperacion para el caso de que la migracién fallara. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


Je}UaWa|dwy 8 AWINbpy ‘unsjsu0y 


0. No existen guias especificas de seguridad de la informacion relevantes para esta practica. Las actividades genéricas de COBIT 5 pueden usarse como 


guia adicional. 
Entradas especificas de seguridad Salidas especificas de seguridad 

(Adicionales a las Entradas COBIT 5) | (Adicionales a las Salidas COBIT 5) 

Practica de Gestion | De ~—|_—Descripcién | Descripcion 


BAIO7.03 Planificar pruebas de aceptacion. Fuera del Planes de prueba Medidas de seguridad | Interno 
Establecer un plan de pruebas basado en estandares corporativos | ambito de de la informacion en el 
que defina roles, responsabilidades, y criterios de entrada y salida. | COBIT 5 para entorno de prueba 
Asegurar que el plan es aprobado por las partes relevantes. Seguridad de la 
Informacion 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Asegurar que las pruebas de aceptacion de seguridad de la informacion son parte del plan de pruebas. 
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COBIT®@ para Securipan DE LA INFORMACION 


BAIO7 Practicas, Entradas/Salidas y Actividades especificos de Seguridad del Proceso (cont.) 


Practica de Gestion 


BAI07.04 Establecer un entorno de pruebas. 

Definir y establecer un entorno seguro de pruebas que sea 
representativo del proceso de negocio y entorno de operaciones 
de TI planeados, en cuanto a rendimiento y capacidad, seguridad, 
controles internos, practicas de operacidn, calidad de los datos y 
requisitos de privacidad y carga de trabajo. 


Entradas especificas de seguridad 
(Adicionales a las Entradas COBIT 5) 


Salidas especificas de seguridad 
(Adicionales a las Salidas COBIT 5) 


Descripcion 


Fuera del Interno 
ambito de 
COBIT 5 para 
Seguridad de la 


Informacion 


Datos y arquitectura 
de entorno de 
pruebas 


Entorno de pruebas 
seguro 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


1. Asegurar que existen los controles de seguridad de la informacion adecuados en el entorno de pruebas (p.ej. anonimato de los datos sensibles). 


Practica de Gestion 


BAI07.05 Ejecutar pruebas de aceptacion. 
Probar los cambios independientemente, de acuerdo con el plan 
de pruebas definido, antes de migrar al entorno de produccidn. 


Entradas especificas de seguridad Salidas especificas de seguridad 
(Adicionales a las Entradas COBIT 5) (Adicionales a las Salidas COBIT 5) 


Fuera de COBIT | Pruebas de 
5 para Seguridad | aceptacion 
de la Informacion 


Pruebas de aceptacion | Interno 


actualizadas 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


1. Desarrollar y ejecutar las pruebas de aceptacion de seguridad de la informacion. 


Practica de Gestion 


BAIO7.06 Pasar a producci6n y gestionar los lanzamientos.. 
Pasar la solucién aceptada al negocio y las operaciones. Donde sea 
apropiado, ejecutar la solucién como un proyecto piloto o en paralelo 
con la solucién antigua durante un periodo de tiempo definido y 
comparar su comportamiento y resultados. Si se dieran problemas 
significativos, reinstaurar el entorno original de acuerdo al plan 

de marcha atras 0 alternativo. Gestionar los lanzamientos de los 
componentes de la solucién. 


Entradas especificas de seguridad Salidas especificas de seguridad 
(Adicionales a las Entradas COBIT 5) | (Adicionales a las Salidas COBIT 5) 


Planes de lanzamiento | Interno 


actualizados 


Planes de 
lanzamiento 


Fuera del 
ambito de 

COBIT 5 para 
Seguridad de la 
Informacion 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


1. Asegurar que la seguridad de la informacion es gestionada durante el paso a produccion y la gestion del lanzamiento. 


Practica de Gestion 


BAIO7.07 Proporcionar soporte en produccién desde el primer 
momento. 

Proporcionar soporte desde el primer momento a los usuarios y a 
las operaciones de TI durante un periodo de tiempo acordado para 
tratar cualquier incidencia y ayudar a estabilizar la nueva solucin. 


Entradas especificas de seguridad Salidas especificas de seguridad 
(Adicionales a las Entradas COBIT 5) (Adicionales a las Salidas COBIT 5) 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


0. No existen guias especificas de seguridad de la informacién relevantes para esta practica. Las actividades genéricas de COBIT 5 pueden usarse como 


guia adicional. 


Practica de Gestion 


BAIO7.08 Ejecutar una revision post-implantaci6n. 

Llevar a cabo una revision post-implantacion para confirmar salidas 
y resultados, identificar lecciones aprendidas y desarrollar un plan 
de accion. Evaluar y verificar el rendimiento actual y las salidas 

del servicio nuevo 0 modificado respecto al rendimiento y salidas 
previstas (es decir, el servicio esperado por el usuario 0 el cliente). 


Entradas especificas de seguridad 
(Adicionales a las Entradas COBIT 5) 


Salidas especificas de seguridad 
(Adicionales a las Salidas COBIT 5) 


Informes de la revision | Interno 
post-implementacién 


actualizados 


Informes de la 
revision post- 
implementacién 


Fuera del 
ambito de 
COBIT 5 para 
Seguridad de la 
Informacion 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


1. Asegurar que la seguridad de la informacion se incluye en la revision post-implementacion. 


Para mas informacion respecto de los catalizadores relacionados, por favor consultar: 
 Apéndice F. Guia Detallada: Catalizador de Servicios, Infraestructura y Aplicaciones 
 Apéndice G. Guia Detallada: Catalizador de Personas, Habilidades y Competencias; G.5 Operaciones de Seguridad de la Informacién 
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APENDICE B 
GuiA DETALLADA: CATALIZADOR DE PROCESOS 


Area: Gestion 
BAIO8 Gestionar el Conocimiento Dominio: Construir, Adquirir e Implementar 


Descripcién del Proceso COBIT 5 
Mantener la disponibilidad de conocimiento relevante, actual, validado y fiable para dar soporte a todas las actividades de los procesos y facilitar la toma 
de decisiones. Planificar la identificacion, recopilacion, organizacion, mantenimiento, uso y retirada de conocimiento. 


Declaraci6n de Propésito del Proceso COBIT 5 
Proporcionar el conocimiento necesario para dar soporte a todo el personal en sus actividades laborales, para la toma de decisiones bien fundadas y 
para aumentar la productividad. 


BAI08 Objetivos y Métricas de Proceso especificos de Seguridad 
Objetivos de Proceso especificos de Seguridad Métricas Relacionadas 


1. Se asegura la comparticin del conocimiento con las salvaguardas ¢ Numero de eventos de fuga de informacion 
adecuadas. © Numero de empleados formados en seguridad de la informacion 
 Porcentaje de categorias de seguridad de la informacion cubiertas 


BAIO8 Practicas, Entradas/Salidas y Actividades especificos de Seguridad del Proceso 


Entradas especificas de seguridad Salidas especificas de seguridad 
(Adicionales a las Entradas COBIT 5) (Adicionales a las Salidas COBIT 5) 


BAI08.01 Cultivar y facilitar una cultura de AP001.04 Programa de Medidas de prevencién de | Interno 
intercambio de conocimientos. concienciacion y pérdida de informacion 

Concebir e implantar un esquema para cultivar y facilitar formacién en seguridad de 

una cultura de intercambio de conocimientos. la informacion 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Asegurar que existen medidas adecuadas de prevencidn de pérdida de la informacion. 
2. Proporcionar formacion para la concienciacién en seguridad de la informacion en relacion al intercambio de informacion. 
3. Incorporar consideraciones de seguridad de la informacion en el ciclo de vida de la informacion corporativa. 


Entradas especificas de seguridad Salidas especificas de seguridad 
(Adicionales a las Entradas COBIT 5) (Adicionales a las Salidas COBIT 5) 


Préctica de Gestién 


BAI08.02 Identificar y clasificar las fuentes de Clasificacion de fuentes de | Interno 
informacion. informacion actualizada 

Identificar, validar y clasificar las diversas fuentes de 

informacion interna y externa necesarias para posibilitar 

el uso y la operacién efectivos de los procesos de 

negocio y los servicios de Tl. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


Je}UaWa|dwy 8 AWINbpy ‘unsjsu0y 


1. Dar soporte al uso y al intercambio de informacion en relacién a su clasificacion y sensibilidad. 


Entradas especificas de seguridad Salidas especificas de seguridad 
(Adicionales a las Entradas COBIT 5) (Adicionales a las Salidas COBIT 5) 


Practica de Gestion Descripcién Descripcién | A 


BAI08.03 Organizar y contextualizar la informacion, Repositorios de Interno 
transformandola en conocimiento. conocimiento publicados 

Organizar la informacion basandose en criterios de 

clasificacion. Identificar y crear relaciones significativas 

entre elementos de informacion y facilitar el uso 

de la informacion. Identificar propietarios y definir 

e implementar niveles de acceso a los recursos de 

informacion. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


2. Desarrollar una estructura para categorizar los sistemas. 


3. Desarrollar una estructura para clasificar la informacién. 


1. Mapear roles con areas de conocimiento y asegurar que se han establecido controles de acceso apropiados para la informacion relevante. 








135 


COBIT®@ para Securipan DE LA INFORMACION 


BAI08 Practicas, Entradas/Salidas y Actividades especificos de Seguridad del Proceso (cont) 


Entradas especificas de seguridad Salidas especificas de seguridad 
(Adicionales a las Entradas COBIT 5) (Adicionales a las Salidas COBIT 5) 


BAI08.04 Utilizar y compartir el conocimiento. Control de acceso Interno 
Difundir las fuentes de conocimiento disponibles entre las actualizado 

partes interesadas relevantes y comunicar cdmo estos 

recursos pueden ser utilizados para tratar diferentes 

necesidades (ej. resolucién de problemas, aprendizaje, 

planificacion estratégica y toma de decisiones). 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Asegurar que existen medidas adecuadas para la prevencion de la pérdida de informacion. 
2. Implementar controles de acceso mediante el uso de politicas y procesos que restrinjan el uso y el intercambio no autorizado de informacion. 


Entradas especificas de seguridad Salidas especificas de seguridad 
(Adicionales a las Entradas COBIT 5) (Adicionales a las Salidas COBIT 5) 


Descripcion Descripcion | aA 


Practica de Gestion 


BAI08.05 Evaluar y retirar la informacion. Reglas actualizadas Interno 
Medir el uso y evaluar la actualizacion y relevancia de la para la eliminacion de la 
informacion. Retirar la informacion obsoleta. informacion 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


1. Deshacerse de forma segura de la informacién. Incluir el borrado de datos de trazabilidad (datos personales/cuestiones de privacidad) 
2. Mantener y documentar una pista de auditoria solida/aceptada para la informacién. 

3. Alinear las medidas de seguridad de la informacidn relevantes a la clasificacion. 

4. Desarrollar politicas y procesos de destruccién segura de la informacién. 


Para mas informacion respecto de los catalizadores relacionados, por favor consultar: 
e Apéndice E. Guia Detallada: Catalizador de Informacion 


Construir, Adquirir e Implementar 





136 


APENDICE B 
GuiA DETALLADA: CATALIZADOR DE PROCESOS 


Area: Gestion 
BAIO9 Gestionar los Activos Dominio: Construir, Adquirir e Implantar 
Descripcién del Proceso COBIT 5 
Gestionar los activos de Tl a través de su ciclo de vida para asegurar que su uso aporta valor a un coste optimo, que se mantendran en funcionamiento 
(acorde a los objetivos), que estan justificados y protegidos fisicamente, y que los activos que son fundamentales para apoyar la capacidad del servicio 
son fiables y estan disponibles. Administrar las licencias de software para asegurar que se adquiere el numero dptimo, se mantienen y despliegan en 
relacion con el uso necesario para el negocio y que el software instalado cumple con los acuerdos de licencia. 


Declaracion de Propésito del Proceso COBIT 5 
Contabilizacion de todos los activos de Tl y optimizacin del valor proporcionado por estos activos. 


BAIO9 Objetivos y Métricas de Proceso especificos de Seguridad 


Objetivos de Proceso especificos de Seguridad Métricas Relacionadas 


1. Todos los activos adquiridos cumplen con los requisitos de seguridad de | © Frecuencia de revision de los requerimientos de seguridad de la 
la informacion. informacion 


2. Se asignan roles y responsabilidades a todos los activos. ¢ Porcentaje de activos con propietarios asignados 
3. Los mecanismos de seguridad de la informacion estan en © Numero de activos no autorizados identificados 
funcionamiento para evitar el uso no autorizado de los activos. 


BAIO9 Practicas, Entradas/Salidas y Actividades especificos de Seguridad del Proceso 


Entradas especificas de seguridad Salidas especificas de seguridad 
(Adicionales a las Entradas COBIT 5) (Adicionales a las Salidas COBIT 5) 


BAIO9.01 Identificar y registrar los activos actuales.. | Fuera del Inventario de activos Requerimientos BAI09.02 
Mantener un registro actualizado y exacto de todos ambito de de seguridad de la 

los activos de TI necesarios para la prestaci6n de COBIT 5 para informacién para los 

servicios y garantizar su alineacion con la gestion de la | Seguridad de la activos Tl 


configuracion y la administracion financiera. Informacion Resultados de la DSS05.03 
comprobacidn fisica del 
inventario 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Identificar dependencias entre los activos. 
2. Identificar los requisitos de seguridad de la informacién para los activos actuales y considerar las dependencias. 
3. Abordar la seguridad de la informacion para los activos Tl, datos y formularios, etc. 


Entradas especificas de seguridad Salidas especificas de seguridad 
(Adicionales a las Entradas COBIT 5) (Adicionales a las Salidas COBIT 5) 
Practica de Gestion | de | —_Descripcién ——|_—Descripcion | 


BAI09.02 Gestionar Activos Criticos. BAIO9.01 Requerimientos Niveles de criticidad de los | BAI09.03 
Identificar los activos que son criticos en la provision de de seguridad de la activos de Tl 

capacidad de servicio y dar los pasos para maximizar su informaci6n para los 

fiabilidad y disponibilidad para apoyar las necesidades activos Tl 

del negocio. 


ip) 
i] 
—} 
RQ 
| 
i= 
= 
> 
a 
2 
= 
a 
= 
@o 
3 
3 
3°) 
3 
3°) 
| 
3 
fe) 
= 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Definir los niveles de criticidad e identificar la criticidad de los activos en un registro de activos. 
2. Hacer cumplir los requisitos de seguridad de la informacion de los activos. 


Entradas especificas de seguridad Salidas especificas de seguridad 
(Adicionales a las Entradas COBIT 5) (Adicionales a las Salidas COBIT 5) 
Practica de Gestion | De ~—s|—seescripcion Descripcion 


BAI09.03 Gestionar el ciclo de vida de los activos. BAIO9.02 Niveles de criticidad de los | Procedimientos de gestién | Interno 
Gestionar los activos desde su adquisicion hasta su activos Tl de activos actualizados 

eliminacién para asegurar que se utilizan tan eficaz y 

eficientemente como sea posible y son contabilizados y 

protegidos fisicamente. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Identificar y comunicar el riesgo de incumplimientos de seguridad de la informacion en relacién al ciclo de vida de los activos. 
2. Asegurar que las medidas y los requerimientos de seguridad de la informacion se cumplen durante todo el ciclo de vida. 
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BAIO9 Practicas, Entradas/Salidas y Actividades especificos de Seguridad del Proceso (cont) 


Entradas especificas de seguridad Salidas especificas de seguridad 
(Adicionales a las Entradas COBIT 5) (Adicionales a las Salidas COBIT 5) 
Practica de Gestion 


BAI09.04 Optimizar el coste de los activos. 

Revisar periddicamente la base global de activos para 
identificar maneras de optimizar los costes y mantener 
el alineamiento con las necesidades del negocio. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


0. No existen guias especificas de seguridad de la informacion relevantes para esta practica. Las actividades genéricas de COBIT 5 pueden usarse como 
guia adicional. 


Entradas especificas de seguridad Salidas especificas de seguridad 
(Adicionales a las Entradas COBIT 5) (Adicionales a las Salidas COBIT 5) 


Descripcion Descripcion 


Practica de Gestion 


BAI09.05 Administrar Licencias. Registro actualizado de Interno 
Administrar las licencias de software de forma que se licencias de software 

mantenga el numero dptimo de licencias para soportar 

los requerimientos de negocio y el numero de licencias 

en propiedad sea suficiente para cubrir el software 

instalado y en uso. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Establecer un procedimiento para el control de las instalaciones de software y otros activos de Tl. 
2. Realizar verificaciones periddicas de la red para detectar software no autorizado. 


Para mas informacion respecto de los relacionados, por favor consultar: 

e Apéndice E. Guia Detallada: Catalizador de Informacion 

e Apéndice F. Guia Detallada: Catalizador de Servicios, Infraestructura y Aplicaciones 

¢ Apéndice G. Guia Detallada: Catalizador de Personas, Habilidades y Competencias; G.5 Operaciones de Seguridad de la Informacion 


Construir, Adquirir e Implementar 
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APENDICE B 
GuiA DETALLADA: CATALIZADOR DE PROCESOS 


Area: Gestion 
BAI10 Gestionar la Configuracion Dominio: Construir, Adquirir e Implementar 
Descripcion del Proceso COBIT 5 
Definir y mantener las definiciones y relaciones entre los principales recursos y capacidades necesarios para la prestacion de los servicios 
proporcionados por Tl, incluyendo la recopilacién de informacion de configuracion, el establecimiento de lineas de referencia, la verificacion y auditoria 
de la informacion de configuraci6n y la actualizacion del repositorio de configuracion. 
Declaracion de Propdsito del Proceso COBIT 5 
Proporcionar suficiente informacion sobre los activos de servicio para que el servicio pueda gestionarse con eficacia, evaluar el impacto de los cambios y 
hacer frente a los incidentes de servicio. 


BAI10 Objetivos y Métricas de Proceso especificos de Seguridad 


Objetivos de Proceso especificos de Seguridad Métricas Relacionadas 


1. Se aprueban, implementan y mantienen en toda la empresa lineas de © Numero de veces que se han revisado y validado las lineas de referencia 
referencia de configuracién de seguridad de la informacidn. basado en un lapso predeterminado 0 cambios importantes y tiempo 
transcurrido 
¢ Numero de discrepancias entre las lineas de referencia estandar de 
seguridad de la informacion y las configuraciones reales 


BAI10 Practicas, Entradas/Salidas y Actividades especificos de Seguridad del Proceso 


Entradas especificas de seguridad Salidas especificas de seguridad 
(Adicionales a las Entradas COBIT 5) (Adicionales a las Salidas COBIT 5) 


BAI10.01 Establecer y mantener un modelo de Alertas de seguridad de la | Interno 
configuracion. informacion 

Establecer y mantener un modelo ldgico de la 

infraestructura, activos y servicios y la forma de 

registrar los elementos de configuracién (Cls del 

inglés, configuration items) y las relaciones entre 

ellos. Incluyendo los Cls considerados necesarios para 

gestionar eficazmente los servicios y proporcionar una 

sola descripcién fiable de los activos en un servicio. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


0. No existen guias especificas de seguridad de la informacion relevantes para esta practica. Las actividades genéricas de COBIT 5 pueden usarse como 
guia adicional. 


Entradas especificas de seguridad Salidas especificas de seguridad 
(Adicionales a las Entradas COBIT 5) (Adicionales a las Salidas COBIT 5) 


Practica de Gestion Descripcién Descripcién 


BAI10.02 Establecer y mantener un repositorio de Informe de evaluacién de | Interno 
configuraci6n y una linea de referencia vulnerabilidades 

Establecer y mantener un repositorio de gestion de 

la configuracion y crear unas bases de referencia de 

configuracién controladas. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


1. Incluir una configuracién de seguridad de la informacién para los elementos configurables como servidores/hardware, dispositivos de red y 
dispositivos finales. 


2. Identificar requerimientos de seguridad de la informacién para los activos actuales y tener en cuenta las dependencias. 
3. Supervisar el cumplimiento con las lineas de referencia de configuracién de seguridad establecidas y aprobadas y con sus actualizaciones. 


Entradas especificas de seguridad Salidas especificas de seguridad 
(Adicionales a las Entradas COBIT 5) (Adicionales a las Salidas COBIT 5) 


Practica de Gestién | De | __—_—Descripcidn_—|_—Descripciin =| A 
BAI10.03 Mantener y controlar los elementos de Plan de gestién de la Interno 
configuracion. configuracion 
Mantener un repositorio actualizado de elemento de 


configuracion rellenado con los cambios. 
Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


0. No existen guias especificas de seguridad de la informacion relevantes para esta practica. Las actividades genéricas de COBIT 5 pueden usarse como 
guia adicional. 
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COBIT®@ para Securipan DE LA INFORMACION 


BAI10 Practicas, Entradas/Salidas y Actividades especificos de Seguridad del Proceso (cont.) 


Entradas especificas de seguridad Salidas especificas de seguridad 
(Adicionales a las Entradas COBIT 5) (Adicionales a las Salidas COBIT 5) 
Practica de Gestion 


BAI10.04 Generar informes de estado y de 
configuracion. 

Definir y elaborar informes de configuracién 
sobre cambios en el estado de los elementos de 
configuracion. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
0. No existen guias especificas de seguridad de la informacion relevantes para esta practica. Las actividades genéricas de COBIT 5 pueden usarse como 


guia adicional. 
Entradas especificas de seguridad Salidas especificas de seguridad 
(Adicionales a las Entradas COBIT 5) (Adicionales a las Salidas COBIT 5) 


Descripcion Descripcion 


Practica de Gestion 


BAI10.05 Verificar y revisar la integridad del 
repositorio de configuracion. 

Revisar periddicamente el repositorio de configuracién 
y verificar la integridad y exactitud con respecto al 
objetivo deseado. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


0. No existen guias especificas de seguridad de la informacion relevantes para esta practica. Las actividades genéricas de COBIT 5 pueden usarse como 
guia adicional. 


Para mas informacion respecto de los relacionados, por favor consultar: 
 Apéndice F. Guia Detallada: Catalizador de Servicios, Infraestructura y Aplicaciones 
¢ Apéndice G. Guia Detallada: Catalizador de Personas, Habilidades y Competencias; G.5 Operaciones de Seguridad de la Informaci6n 


Construir, Adquirir e Implementar 
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APENDICE B 
Guid DETALLADA: CATALIZADOR DE PROCESOS 


B.4 ENTREGA, SERVICIO Y SOPORTE (DSS) 


01 — Gestionar operaciones. 

O2 _ Gestionar peticiones e incidentes de servicio. 
O3 __ Gestionar problemas. 

04 _ Gestionar la continuidad. 

O5 _ Gestionar servicios de seguridad. 


O6 _ Gestionar controles de procesos de negocio. 
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APENDICE B 
GuiA DETALLADA: CATALIZADOR DE PROCESOS 


Area: Gestion 
DSSO1 Gestionar Operaciones Dominio: Entrega, Servicio y Soporte 
Descripcion del Proceso de COBIT 5 
Coordinar y ejecutar las actividades y los procedimientos operativos requeridos para entregar servicios de TI tanto internos como externalizados, 
incluyendo la ejecucién de procedimientos operativos estandar predefinidos y las actividades de monitorizacion requeridas. 


Declaracion del Propdsito del Proceso de COBIT 5 
Entregar los resultados del servicio operativo de Tl, segun lo planificado. 


DSS01 Objetivos y Métricas del Proceso especificas de Seguridad 


Objetivos de Proceso especificos de Seguridad Métricas Relacionadas 


1. Las operaciones de seguridad de la informacion son realizadas de © Numero de incidentes de seguridad de la informacién causados por 
acuerdo a un plan operativo de seguridad de la informacion, en linea con problemas operativos 
la estrategia de seguridad de la informacion 


2. Los estandares de seguridad de la informacion aplicables estan ¢ Numero de cuestiones de seguridad de la informacion no contempladas 
identificados y se cumplen por estandares de seguridad de la informacion 
© Numero de estandares de seguridad de la informacién no abordados o 
satisfechos por el plan operativo de seguridad de la informacion 


DSS01 Practicas, Entradas/Salidas y Actividades especificos de Seguridad del Proceso 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Entradas de COBIT 5) 
Practicas de Gestion | De ~—s|_——sDescripcion | Descripcion 


DSS01.01 Ejecutar procedimientos operativos. AP003.05 Guia de implementacién Procedimientos operativos | Interno 
Mantener y ejecutar procedimientos y tareas operativas del servicio de arquitectura | de seguridad de la 
de forma confiable y consistente. de seguridad de la informacion 

informacion 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Verificar que los procedimientos operativos de seguridad de la informacién relevantes estan incluidos en los procedimientos operativos ordinarios. 


2. Asegurar que el ciclo de vida de procesamiento de la informacion (recepcion, procesamiento, almacenamiento y salida) incorpora la politica de 
seguridad de la informacidn y los requerimientos regulatorios. 


3. Asegurar que las operaciones de seguridad de la informacion son planificadas, ejecutadas y controladas de acuerdo con el plan operativo. 


4. Aplicar seguridad de la informacion y derechos de acceso a todos los datos. 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Entradas de COBIT 5) 
Practicas de Gestion | De ~—|_——sDescripcion =| Descripcion 


DSS01.02 Gestionar servicios externalizados de Tl. | APO01.03 Politicas de seguridad de | Planes de aseguramiento | Interno 
Gestionar la operacion de servicios externalizados la informacion y afines de terceros 

de TI para mantener la proteccion de la informacién 

empresarial y la confiabilidad de la entrega del servicio. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Asegurar y supervisar activamente el cumplimiento de terceros con las politicas, estandares y requerimientos de seguridad de la informacion de la 


empresa. 
Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Entradas de COBIT 5) 


DSS01.03 Supervisar la infraestructura de TI. Fuera del Reglas de monitorizacion | Reglas de monitorizaci6n | Interno 
Supervisar la infraestructura TI y los eventos ambito de de activos y estado de de activos actualizadas 

relacionados con ella. Almacenar la suficiente COBIT 5 para eventos 

informacion cronoldgica en los registros de operaciones | Seguridad de la 

para permitir la reconstrucci6n, revision y examen Informacion 

de las secuencias de tiempo de las operaciones y 

las actividades relacionadas con el soporte a esas 

operaciones. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


1. Asegurar que TI supervisa activamente aspectos de seguridad de la informacion de la infraestructura de TI, tales como configuracion, operaciones, 
aCCeso y USO. 
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DSS01 Practicas, Entradas/Salidas y Actividades especificos de Seguridad del Proceso (cont.) 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Entradas de COBIT 5) 


DSS01.04 Gestionar el entorno. Fuera del Politicas de seguridad Politicas de seguridad Interno 
Mantener las medidas para la proteccién contra factores | ambito de ambiental ambiental actualizadas 
ambientales. Instalar equipamiento y dispositivos COBIT 5 para 
especializados para supervisar y controlar el entorno. Seguridad de la 
Informacion 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


1. Asegurar que la gestion del entorno se adhiere a los requerimientos de seguridad de la informacién. 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Entradas de COBIT 5) 


Practicas de Gestion | De ~— | _~——sDescripcion =| Descripcion 


DSS01.05 Gestionar las instalaciones. Fuera del Informes de evaluacién de | Informes de evaluacion de | Interno 
Gestionar las instalaciones, incluyendo equipos de ambito de instalaciones instalaciones actualizados 
electricidad y comunicaciones, en linea con las leyes y | COBIT 5 para 

regulaciones, requerimientos técnicos y de negocio y Seguridad de la 

directrices de salud y seguridad en el trabajo. Informacion 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Asegurar que la gestion de instalaciones se adhiere a los requerimientos de seguridad de la informacion. 


Para mas informacion sobre catalizadores relacionados, consultar: 
 Apéndice F. Guia Detallada: Catalizador de Servicios, Infraestructuras y Aplicaciones. 
 Apéndice G. Guia Detallada: Catalizador de Personas, Habilidades y Competencias, G.5. Operaciones e Seguridad de la Informacion. 
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APENDICE B 
GuiA DETALLADA: CATALIZADOR DE PROCESOS 


Area: Gestion 
DSS02 Gestionar Peticiones e Incidentes de Servicio Dominio: Entrega, Servicio y Soporte 
Descripcién del Proceso de COBIT 5 
Proveer una respuesta oportuna y efectiva a las peticiones de usuario y la resolucion de todo tipo de incidentes. Recuperar el servicio normal; registrar y 
completar las peticiones de usuario; y registrar, investigar, diagnosticar, escalar y resolver incidentes. 


Declaracion del Propdsito del Proceso de COBIT 5 
Lograr una mayor productividad y minimizar las interrupciones mediante la rapida resolucion de consultas de usuario e incidentes. 


DSS02 Objetivos y Métricas del Proceso especificas de Seguridad 
Objetivos del Proceso especificos de Seguridad Métricas Relacionadas 


1. Se ha establecido y se mantiene un programa de respuesta ante © Tiempo promedio de resolucion de incidencias de seguridad 
incidentes de seguridad de la informacion © Numero y porcentaje de incidentes relacionados con seguridad de la 
informacién que causan interrupcidn en los procesos criticos de negocio 
© Numero de incidentes de seguridad de la informacién abiertos/cerrados 
y Sus niveles de riesgo 
¢ Frecuencia de pruebas del plan de respuesta ante incidentes de 
seguridad de la informacion 


DSS02 Practicas, Entradas/Salidas y Actividades especificos de Seguridad del Proceso 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Entradas de COBIT 5) 


DSS02.01 Definir esquemas de clasificacion de AP001.03 Politicas de seguridad de | Esquema de clasificaci6n | DSS02.02 
incidentes y peticiones de servicio. la informacion y afines de incidentes de seguridad 

Definir esquemas y modelos de clasificacién de de la informacion 

incidentes y peticiones de servicio. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


1. Definir y comunicar la naturaleza y las caracteristicas de los potenciales incidentes relacionados con seguridad para que puedan ser facilmente 
reconocidos y su impacto entendido y, asi, permitir una respuesta adecuada. 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Entradas de COBIT 5) 


DSS02.02 Registrar, clasificar y priorizar peticiones | DSS02.01 Esquema de clasificaci6n | Incidentes y peticiones de | APO08.03 
e incidentes. de incidentes de seguridad | servicio de seguridad de la | APO12.01 
Identificar, registrar y clasificar peticiones de servicio e de la informacion informacion clasificados y | APO13.03 


incidentes, y asignar una prioridad segun la criticidad : os priorizados DSS02.07 
del negocio y los acuerdos de servicio. DSS05.07 pe incidentes de 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


1. Mantener un procedimiento de investigacién y respuesta de incidentes de seguridad de la informacion. Asegurar que se han puesto medidas para 
proteger la confidencialidad de la informacion relativa a incidentes de seguridad y que todo el personal esta al corriente del procedimiento. 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Entradas de COBIT 5) 


Précticas de Gestién 


DSS02.03 Verificar, aprobar y resolver peticiones de 
servicio. 

Seleccionar los procedimientos adecuados para 
peticiones y verificar que las peticiones de servicio 
cumplen los criterios de peticion definidos. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


0. No existen guias especificas de seguridad de la informacion relevantes para esta practica. Las actividades genéricas de COBIT 5 pueden usarse como 
guia adicional. 
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Entrega, Servicio y Soporte 


COBIT®@ para Securipap de LA INFORMACION 


DSS02 Practicas, Entradas/Salidas y Actividades especificos de Seguridad del Proceso (cont.) 


Entradas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) 


Practicas de Gestion 


DSS02.04 Investigar, diagnosticar y localizar 
incidentes. 


Identificar y registrar sintomas de incidentes, determinar 
posibles causas y asignar recursos a su resolucién. 


Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) 


Descripcion Descripcion 


Procedimientos de 
recogida de evidencias 


Interno 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


1. Mantener un procedimiento de recogida de evidencias en linea con las normas de evidencias forenses locales y asegurar que todo el personal esta al 


Corriente del procedimiento. 


Entradas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) 


Practicas de Gestion 


Fuera del 
ambito de 
COBIT 5 para 
Seguridad de la 
Informacion 


DSS02.05 Resolver y recuperarse ante incidentes. 
Documentar, solicitar y probar las soluciones 
identificadas o temporales y ejecutar acciones de 
recuperacion para restaurar el servicio Tl relacionado. 


Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) 


Analisis de impacto en el DSS02.07 
negocio, politica de gestion 
del riesgo organizativo, 
esquema de clasificacion 


de incidentes 


Plan de respuesta ante 
incidentes 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


1. Definir un plan de respuesta ante incidentes de seguridad de la informacion. 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Entradas de COBIT 5) 


Practicas de Gestion 


DSS02.06 Cerrar peticiones de servicio e incidentes. 
Verificar la satisfactoria resolucion de incidentes y/o 
satisfactorio cumplimiento de peticiones, y cierre. 


0. No existen guias especificas de seguridad de la informacion relevantes para esta practica. Las actividades genéricas de COBIT 5 pueden usarse como 


guia adicional. 


Practicas de Gestion 


DSS02.07 Seguir el estado y emitir de informes. DSS02.02 
Hacer seguimiento, analizar e informar de incidentes 

y tendencias de cumplimiento de peticiones, 

regularmente, para proporcionar informacion para la 


mejora continua. DSS02.05 


Incidentes y peticiones de Interno 
servicio de seguridad de la 
informacion clasificados y 


priorizados 


Plan de respuesta ante 
incidentes 


Lecciones aprendidas 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


1. Reportar los resultados de las investigaciones de incidentes de seguridad a los grupos de interés oportunos, incluyendo informes periddicos a la 


direccion ejecutiva. 


2. Asegurar que los incidentes de seguridad y las acciones de seguimiento oportunas, incluyendo andlisis de la causa raiz, siguen los procesos de 


gestion de problemas e incidentes existentes. 


Para mas informacion sobre catalizadores relacionados, consultar: 


e Apéndice E. Guia Detallada: Catalizador de Informacion, E.9. Cuadro de Mando de Seguridad de la Informacién 
 Apéndice F. Guia Detallada: Catalizador de Servicios, Infraestructuras y Aplicaciones. 
¢ Apéndice G. Guia Detallada: Catalizador de Personas, Habilidades y Competencias, G.5. Operaciones e Seguridad de la Informacion. 
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APENDICE B 
GuiA DETALLADA: CATALIZADOR DE PROCESOS 


Area: Gestion 
DSS03 Gestionar Problemas Dominio: Entrega, Servicio y Soporte 
Descripcién del Proceso de COBIT 5 
Identificar y clasificar problemas y sus causas raiz y proporcionar resolucion en tiempo para prevenir incidentes recurrentes. Proporcionar 
recomendaciones de mejora. 


Declaracion del Propdsito del Proceso de COBIT 5 
Incrementar la disponibilidad, mejorar los niveles de servicio, reducir costes, y mejorar la comodidad y satisfaccion del cliente reduciendo el numero de 
problemas operativos.. 


DSSO03 Objetivos y Métricas del Proceso especificas de Seguridad 


Objetivos del Proceso especificos de Seguridad Métricas Relacionadas 


1. Los problemas de seguridad de la informacion son resueltos de una © Numero de problemas de seguridad de la informacion recurrentes que 
forma sostenible permanecen sin resolver. 
© Numero de problemas relativos a seguridad de la informacion para 
los que se ha encontrado una soluci6n satisfactoria que contempla 
cuestiones criticas de seguridad de la informacion 


DSS03 Practicas, Entradas/Salidas y Actividades especificos de Seguridad del Proceso 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Entradas de COBIT 5) 


DSS03.01 Identificar y clasificar problemas. Fuera de! ambito | Analisis de Esquema de clasificaci6n | DSS03.04 
Definir e implementar criterios y procedimientos para de COBIT 5 para | vulnerabilidades de problemas de seguridad 

informar de los problemas identificados, incluyendo Seguridad de la de la informacion 

clasificacion, categorizacion y priorizacién de problemas. | Informacion 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Clasificar, categorizar y priorizar los problemas de seguridad de la informacién. 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Entradas de COBIT 5) 


Descripcion Descripcion 


Practicas de Gestion 


en las materias relevantes para valorar y analizar las 
causas raiz. 


DSS03.02 Investigar y diagnosticar problemas. Causas raiz de los Interno 
Investigar y diagnosticar problemas utilizando expertos problemas actualizadas 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Investigar los problemas de seguridad de la informacion. 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Entradas de COBIT 5) 


Practicas de Gestion Descripcion Descripcion 


DSS03.03 Levantar errores conocidos. Registros de errores Interno 
Tan pronto como las causas raiz de los problemas se conocidos actualizados 

hayan identificado, crear registros de errores conocidos 

y una solucién temporal apropiada, e identificar 

soluciones potenciales. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Escalar los problemas de seguridad de la informacién cuando sea necesario. 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Entradas de COBIT 5) 


DSS03.04 Resolver y cerrar problemas. DSS03.01 Esquema de clasificacion | Causa raiz de los DSS03.05 
Identificar e iniciar soluciones sostenibles refiriéndose a de problemas de seguridad | problemas 

la causa raiz, levantando peticiones de cambio a través de la informacion 

del proceso de gestion de cambios establecido si se 

requiere para resolver errores. Asegurarse de que el 

personal afectado esta al tanto de las acciones tomadas 

y de los planes desarrollados para prevenir que vuelvan 

a ocurrir futuros incidentes. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


1. Realizar andlisis de causa raiz, resolver problemas de seguridad de la informacion y actualizar el plan de respuesta ante incidentes. Hacer seguimiento 
y registrar los problemas de seguridad de la informacion. 
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COBIT®@ para Securipap DE LA INFORMACION 


DSS03 Practicas, Entradas/Salidas y Actividades especificos de Seguridad del Proceso (cont.) 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Entradas de COBIT 5) 


DSS03.05 Realizar una gestion de problemas DSS03.04 Causa raiz de problemas Implementaci6n de Interno 
proactiva. politicas y procedimientos 

Recoger y analizar datos operacionales (especialmente de seguridad de la 

registros de incidentes y cambios) para identificar informacion y planes de 

tendencias emergentes que puedan indicar problemas. accion para abordar las 


Registrar problemas para permitir la valoracin. causas raiz. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1.Analizar y aprovechar las lecciones aprendidas. 


Para mas informacion sobre catalizadores relacionados, consultar: 

e Apéndice E. Guia Detallada: Catalizador de Informacion, E.9. Cuadro de Mando de Seguridad de la Informacion 

 Apéndice F. Guia Detallada: Catalizador de Servicios, Infraestructuras y Aplicaciones. 

¢ Apéndice G. Guia Detallada: Catalizador de Personas, Habilidades y Competencias, G.5. Operaciones e Seguridad de la Informacion. 
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APENDICE B 
GuiA DETALLADA: CATALIZADOR DE PROCESOS 


Area: Gestion 
Dominio: Entrega, Servicio y Soporte 


DSS04 Gestionar la Continuidad 


Descripcién del Proceso de COBIT 5 
Establecer y mantener un plan para permitir al negocio y a Tl responder a incidentes e interrupciones de servicio para la operacion continua de los 
procesos criticos para el negocio y los servicios Tl requeridos y mantener la disponibilidad de la informacion a un nivel aceptable para la empresa. 


Declaracion del Propdsito del Proceso de COBIT 5 
Continuar las operaciones criticas para el negocio y mantener la disponibilidad de la informacion a un nivel aceptable para la empresa ante el evento de 
una interrupcion significativa. 


DSS04 Objetivos y Métricas del Proceso especificas de Seguridad 


Objetivos del Proceso especificos de Seguridad Métricas Relacionadas 


1. El riesgo de la informacidn se ha identificado adecuadamente y se ¢ Numero de invocaciones al plan causadas por incidentes de seguridad 
incluye en los planes de continuidad de las tecnologias de la informacién | —_de la informacion 
y comunicaciones (TIC) e Numero de incidentes de seguridad de la informacion escalados para la 
activacion de la continuidad TIC 
¢ Numero de sistemas de seguridad de la informacion criticos cubiertos 
por el plan de continuidad TIC. 


DSS04 Practicas, Entradas/Salidas y Actividades especificos de Seguridad del Proceso 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Entradas de COBIT 5) 
| de | __—_—Descripcidn | _——Descripcidn =| A 
Fuera del ambito | Politica para la continuidad | Politica para la continuidad | Interno 
negocio, objetivos y alcance. de COBIT 5 para | de negocio de negocio actualizada 


Definir la politica y alcance de continuidad de negocio alin- Seguridad de la 
eada con los objetivos de negocio y de las partes interesadas. | Informacion 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


Practicas de Gestion 
DSS04.01 Definir la politica de continuidad de 


1. Asegurar que la seguridad de la informacién forma parte del ciclo de vida de la continuidad de negocio. 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Entradas de COBIT 5) 
F be | —_Descricion | ——Desorincion | A= 
Fuera del ambito | Analisis de impacto enel | Analisis de impacto en el | Interno 
de COBIT 5 para | negocio (AIN) negocio (AIN) actualizado 


Seguridad de la 
Informacion 


Practicas de Gestion 


DSS04.02 Mantener una estrategia de continuidad. 
Evaluar las opciones de gestion de la continuidad de 
negocio y escoger una estrategia de continuidad viable 
y efectiva en coste, que pueda asegurar la continuidad y 
recuperacion de la empresa frente a un desastre u otro 
incidente mayor o disrupcién. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Incluir escenarios que tengan en cuenta la seguridad de la informaci6n. 
Salidas especificas de Seguridad 


Practicas de Gestion 


DSS04.03 Desarrollar e implementar una respuesta 
a la continuidad del negocio. 

Desarrollar un plan de continuidad de negocio (BCP) basado 
en la estrategia que documente los procedimientos y la 
informacion lista para el uso en un incidente para facilitar 


Entradas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) 


(Adicionales a las Entradas de COBIT 5) 
Descripcion 


Plan de continuidad de Interno 


negocio (PCN) actualizado 


Plan de continuidad de 
negocio (PCN) 


Fuera del 
ambito de 

COBIT 5 para 
Seguridad de la 
Informacion 


que la empresa continue con sus actividades criticas 
Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Incluir requerimientos de seguridad de la informacion en el plan de continuidad de negocio (PCN). 
Salidas especificas de Seguridad 


Entradas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Entradas de COBIT 5) 


Descripcion Descripcion 


Practicas de Gestion 


DSS04.04 Ejercitar, probar y revisar el BCP. 

Probar los acuerdos de continuidad regularmente para 
ejercitar los planes de recuperacion respecto a unos 
resultados predeterminados, para permitir el desarrollo 
de soluciones innovadoras y para ayudar a verificar que 
el plan funcionara, en el tiempo, como se espera. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
0. No existen guias especificas de seguridad de la informacidn relevantes para esta practica. Las actividades genéricas de COBIT 5 pueden usarse como guia adicional. 
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Entrega, Servicio y Soporte 


COBIT®@ para Securipap de LA INFORMACION 


DSS04 Practicas, Entradas/Salidas y Actividades especificos de Seguridad del Proceso (cont.) 


Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) 


Interno 


Entradas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) 
| de | _——_—iescripcion | 


Fuera del Plan de continuidad de 
ambito de negocio (PCN) 

COBIT 5 para 

Seguridad de la 

Informacion 


Practicas de Gestion Descripcion 


Plan de continuidad de 
negocio (PCN) actualizado 


DSS04.05 Revisar, mantener y mejorar el plan de 
continuidad. 

Realizar una revision por la Direccion de la capacidad 
de continuidad a intervalos regulares para asegurar su 
continua idoneidad, adecuacidn y efectividad. Gestionar 
los cambios en el plan de acuerdo al proceso de control 
de cambios para asegurar que el plan de continuidad 
se mantiene actualizado y refleja continuamente los 
requerimientos actuales del negocio. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Considerar los incidentes de seguridad de la informacién como disparadores importantes para mejorar el plan de continuidad de negocio (PCN) 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Entradas de COBIT 5) 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


Practicas de Gestion 


DSS04.06 Proporcionar formaci6n en el plan de 
continuidad. 

Proporcionar a todas las partes implicadas, internas 
y externas, de sesiones formativas regulares 

que contemplen los procedimientos y sus roles y 
responsabilidades en caso de disrupcion. 


0. No existen guias especificas de seguridad de la informacion relevantes para esta practica. Las actividades genéricas de COBIT 5 pueden usarse como 


guia adicional. 
Entradas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) 
F pe | ——_—Desorincion | 


Fuera del Resultados de pruebas de 
ambito de datos de respaldo 
COBIT 5 para 

Seguridad de la 

Informacion 


Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) 


Practicas de Gestion 


DSS04.07 Gestionar acuerdos de respaldo. Interno 
Mantener la disponibilidad de la informacion critica del 


negocio. 


Resultados de pruebas 
de datos de respaldo 
actualizados 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Asegurar que los acuerdos de copia de respaldo y recuperacion incluyen requerimientos de seguridad de la informacion. 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Entradas de COBIT 5) 


Practicas de Gestion 


DSS04.08 Ejecutar revisiones post-reanudacion. 
Evaluar la adecuacion del Plan de Continuidad de 

Negocio (BCP) después de la reanudacidn exitosa de 
los procesos de negocio y servicios después de una 


Descripcion 


Fuera del Interno 
ambito de 
COBIT 5 para 


Seguridad de la 


Informes de revision post- 
reanudacion 


Informes de revision post- 
reanudacion actualizados 


disrupcion. Informacion 
Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


10. Asegurar que las revisiones pos-reanudacién incluyen la seguridad de la informacion. 


Para mas informacion sobre catalizadores relacionados, consultar: 
 Apéndice A: Guia Detallada: Catalizador de Principios, Politicas y Marcos. 
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APENDICE B 
Guid DETALLADA: CATALIZADOR DE PROCESOS 


Area: Gestion 
DSS05 Gestionar Servicios de Seguridad Dominio: Entrega, Servicio y Soporte 
Descripcién del Proceso de COBIT 5 


Proteger la informacion de la empresa para mantener aceptable el nivel de riesgo de seguridad de la informacion de acuerdo con la politica de 
seguridad. Establecer y mantener los roles de seguridad y privilegios de acceso de la informacion y realizar la supervision de la seguridad. 


Declaracion del Propdsito del Proceso de COBIT 5 
Minimizar el impacto en el negocio de las vulnerabilidades e incidentes operativos de seguridad en la informacién. 


DSS05 Objetivos y Métricas del Proceso especificas de Seguridad 


Objetivos del Proceso especificos de Seguridad Métricas Relacionadas 


1. La seguridad de las redes y las comunicaciones cubre con las ¢ Numero de vulnerabilidades descubiertas 
necesidades del negocio. ¢ Numero de rupturas (breaches) de cortafuegos 


2. La informacion procesada, almacenada y transmitida en los dispositivos | ¢ Porcentaje de individuos que reciben formacidn de concienciacién 
de usuario finales esta protegida. relativa al uso de dispositivos de usuario finales 
¢ Numero de incidentes que impliquen dispositivos de usuario finales 
e Numero de dispositivos de usuario finales no autorizados detectados en 
la red o en el entorno 


3. Todos los usuarios estan identificados de manera unica y tienen ¢ Promedio de tiempo entre los cambios y actualizaciones de cuentas 
derechos de acceso de acuerdo con sus roles en el negocio. ¢ Numero de cuentas (con respecto al numero de usuarios/empleados 
autorizados) 


4. Se han implantado medidas fisicas para proteger la informacién de  Porcentaje de pruebas periddicas de los dispositivos de seguridad del 
accesos no autorizados, dafios e interferencias mientras es procesada, entorno 
almacenada 0 transmitida. ° Clasificacién media para las evaluaciones de seguridad fisica 
© Numero de incidentes relacionados con seguridad fisica 


5. La informacion electronica tiene las medidas de seguridad apropiadas © Numero de incidentes relacionados con accesos no autorizados a la 


mientras esta almacenada, transmitida o destruida. informacion 


DSS05 Practicas, Entradas/Salidas y Actividades especificos de Seguridad del Proceso 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Entradas de COBIT 5) 


DSS05.01 Proteger contra software malicioso Politica de prevencién de | APO01.04 
(malware). software malicioso 

Implementar y mantener efectivas medidas, preventivas, 

de deteccidn y correctivas (especialmente parches de Evaluaciones de amenazas } APO12.02 
seguridad actualizados y control de virus) a lo largo de potenciales AP012.03 
la empresa para proteger los sistemas de informacion 

y tecnologia del software malicioso (por ejemplo, virus, 

gusanos, software espia —spyware- y correo basura). 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Divulgar concienciacién sobre el software malicioso y forzar procedimientos y responsabilidades de prevencién. 


2. Instalar y activar herramientas de proteccion frente a software malicioso en todas las instalaciones de proceso, con ficheros de definicién de software 
malicioso que se actualicen seguin se requiera (automatica o semi-automaticamente). 


3. Distribuir todo el software de proteccion de forma centralizada (version y nivel de parcheado) usando una configuracién centralizada y la gestion de 
cambios. 


4. Revisar y evaluar regularmente la informacién sobre nuevas posibles amenazas (por ejemplo, revisando productos de vendedores y servicios de 
alertas de seguridad). 


aiodos A o1sinias ‘ebeuuy 


5. Filtrar el trafico entrante, como correos electronicos y descargas, para protegerse frente a informacidn no solicitada (por ejemplo, software espia y 
correos de phishing). 


6. Realizar formacion periddica sobre software malicioso en el uso del correo electrénico e Internet. Formar a los usuarios para no instalarse software 
compartido o no autorizado. 








151 


2 
= 
S 
2 
=) 
(7) 
> 
a=) 
i 
= 
o 
(77) 
- 
=) 
© 
— 
= 
wi 





COBIT®@ para Securipap DE LA INFORMACION 


DSS05 Practicas, Entradas/Salidas y Actividades especificos de Seguridad del Proceso (cont.) 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Entradas de COBIT 5) 


DSS05.02 Gestionar la seguridad de Ia red y las AP001.06 Guias de clasificacion de la | Politica de seguridad en la } APO01.04 
conexiones. informacion conectividad 


Utilizar medidas de seguridad y procedimientos de 

gestion relacionados para proteger la informacion en AP009.03 BNSS ee las pruebas: | MEAQ2.08 

todos los modos de conexién. 
Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 

1. Basandose en el analisis de riesgos y en los requerimientos del negocio, establecer y mantener una politica de seguridad para las conexiones. 


2. Permitir sdlo a los dispositivos autorizados tener acceso a la informacion y a la red de la empresa. Configurar estos dispositivos para forzar la solicitud 
de contrasefia. 


3. Implementar mecanismos de filtrado de red, como cortafuegos y software de deteccién de intrusiones, con politicas apropiadas para controlar el 
trafico entrante y saliente. 


4. Cifrar la informacion en transito de acuerdo con su clasificacion. 

5. Aplicar los protocolos de seguridad aprobados a las conexiones de red. 

6. Configurar los equipamientos de red de forma segura. 

7. Establecer mecanismos de confianza para dar soporte a la transmisi6n y recepcidn segura de informacion. 

8. Realizar pruebas de intrusion periddicas para determinar la adecuaci6n de la proteccidn de la red. 

9. Realizar pruebas periédicas de la seguridad del sistema para determinar la adecuacion de la protecci6n del sistema. 


Entradas especificas de Seguridad Salidas especificas de Seguridad 


(Adicionales a las Entradas de COBIT 5) (Adicionales a las Entradas de COBIT 5) 


Practicas de Gestion Descripcion 


DSS05.03 Gestionar la seguridad de los puestos de | APO03.02 Modelo de arquitectura de | Politicas de seguridad para | APOO1.04 
usuario finales. la informacion dispositivos de usuario 


Asegurar que los puestos de usuario finales (es decir, : finales 
portatil, equipo sobremesa, servidor y otros dispositivos APO09.03 . pai ree de 

y software moviles y de red) estan asegurados a un nivel # Aenardos da Nivel 

que es igual o mayor al definido en los requerimientos Operativo (OLAs 

de seguridad de la informacion procesada, almacenada 


o transmitida. BAIO9.01 
inventarios fisicos 
DSS06.06 Informes de violaciones 
Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Configurar los sistemas operativos de forma segura. 
2. Implementar mecanismos de bloqueo de los dispositivos. 
3. Cifrar la informacion almacenada de acuerdo a su clasificacién. 
4. Gestionar el acceso y control remoto. 
5. Gestionar la configuracion de la red de forma segura. 
6. Implementar el filtrado del trafico de la red en dispositivos de usuario finales. 
7. Proteger la integridad del sistema. 
8. Proveer de proteccion fisica a los dispositivos de usuario finales. 





9. Deshacerse de los dispositivos de usuario finales de forma segura. 


152 


APENDICE B 
GuiA DETALLADA: CATALIZADOR DE PROCESOS 


DSS05 Practicas, Entradas/Salidas y Actividades especificos de Seguridad del Proceso (cont.) 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Entradas de COBIT 5) 


Practicas de Gestion | De Descripcion Descripcion 


DSS05.04 Gestionar la identidad del usuario y el AP001.02 Definicion de roles Resultados de las Interno 
acceso ldgico. y responsabilidades revisiones de cuentas de 
Asegurar que todos los usuarios tienen derechos relacionados con TI usuarios y privilegios de 

de acceso a la informacion de acuerdo con los ; los usuarios 

requerimientos de negocio y coordinar con las unidades AP003.02 nh haat del. Derechos de acceso de 

de negocio que gestionan sus propios derechos de usuarios aprobados 

acceso con los procesos de negocio. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


1. Mantener los derechos de acceso de los usuarios de acuerdo con los requerimientos de las funciones y procesos de negocio. Alinear la gestion de 
identidades y derechos de acceso a los roles y responsabilidades definidos, basandose en los principios de menos privilegio, necesidad de tener y 
necesidad de conocer. 


2. Identificar univocamente todas las actividades de proceso de la informacion por los roles funcionales, coordinacin con las unidades de negocio y 
asegurando que todos los roles estan definidos consistentemente, incluyendo roles definidos por el propio negocio en las aplicaciones de procesos de 
negocio. 


3. Autenticar todos los accesos a los activos de informacion basandose en su clasificacién de seguridad, coordinando con las unidades de negocio 
que gestionan la autenticacion en las aplicaciones usadas en los procesos de negocio para asegurar que los controles de autenticacion han sido 
administrados adecuadamente. 


4. Administrar todos los cambios de derechos de acceso (creacion, modificacién y eliminacién) para que tengan efecto en el momento oportuno 
basandose sdlo en transacciones aprobadas y documentadas y autorizadas por los gestores individuales designados. 


5. Segregar y gestionar cuentas de usuarios privilegiadas. 
6. Realizar regularmente revisiones de la gestion de todas las cuentas y privilegios relacionados. 


7. Asegurar que todos los usuarios (internos , externos y temporales) y su actividad en los sistemas TI (aplicaciones de negocio, infraestructura 
Tl, operacidn , desarrollo y mantenimiento de sistemas) son identificables univocamente. Identificar univocamente todas las actividades de 
procesamiento de la informacién por usuario. 


8. Mantener una pista de auditoria de los accesos a la informacion clasificada como altamente sensible. 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Entradas de COBIT 5) 


Descripcion 


DSS05.05 Gestionar el acceso fisico a los activos 

de TI. 

Definir e implementar procedimientos para conceder, Peticiones de acceso Intemo 
limitar y revocar el acceso a los locales, edificios y areas aprobadas 

de acuerdo con las necesidades del negocio, incluyendo 

emergencias. El acceso a locales, edificios y areas debe 

estar justificado, autorizado, registrado y supervisado. 

Esto aplicara a todas las personas que entren en los 


Practicas de Gestion 


locales, incluyendo empleados, personal temporal, 
Clientes, proveedores, visitantes 0 cualquier otra tercera 
parte. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


1. Gestionar las peticiones y concesiones de acceso a las instalaciones de procesamiento. Las peticiones formales de acceso deberan ser completadas 
y autorizadas por la direccién del emplazamiento de TI, y conservarse las solicitudes registradas .Los formularios deberian identificar especificamente 
las areas a las que el individuo tiene acceso concedido. 


2. Asegurar que los perfiles de acceso estan actualizados. El acceso a las ubicaciones de TI (salas de servidores, edificios, areas 0 zonas) debe basarse 
en funcidn del trabajo y responsabilidades. 


3. Rregistrar y supervisar todos los puntos de entrada a los emplazamientos de TI. Registrar todos los visitantes a las dependencias, incluyendo 
contratistas y proveedores. 


4. Instruir a todo el personal para mantener visible la identificacién en todo momento. Prevenir la expedicion de tarjetas o placas de identidad sin la 
autorizacién adecuada. 


5. Escoltar a los visitantes en todo momento mientras estén en las dependencias . Si se encuentra a un individuo que no va acompafiado, que no resulta 
familiar y que no lleva visible la identificacion de empleado, se debera alertar al personal de seguridad. 


6. Restringir el acceso a ubicaciones de TI sensibles estableciendo restricciones en el perimetro, tales como vallas, muros y dispositivos de seguridad en 
puertas interiores y exteriores. Asegurar que los dispositivos restringen el acceso y disparen una alarma en caso de acceso no autorizado. Ejemplos de 
estos dispositivos incluyen placas o tarjetas de acceso, teclados (keypads), circuitos cerrados de television y escaneres biométricos. 


7. Realizar regularmente formacion de concienciacién de seguridad fisica. 
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COBIT®@ para Securipan DE LA INFORMACION 


DSS05 Practicas, Entradas/Salidas y Actividades especificos de Seguridad del Proceso (cont) 


(Adicionales a las Entradas de COBIT 5) 


Practicas de Gestion | oA 


DSS05.06 Gestionar documentos sensibles y AP003.02 Modelo de arquitectura de | ¢ Privilegios de acceso Interno 
dispositivos de salida. la informacion e Inventario de 

Establecer salvaguardas fisicas apropiadas, practicas documentos y 

de contabilidad y gestion del inventario para activos dispositivos sensibles. 

de TI sensibles, tales como formularios especiales, 

titulos negociables, impresoras de propésito especial o 

credenciales (tokens) de seguridad. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


1. Establecer procedimientos para gobernar la recepcidn, uso, eliminacidn y destruccién de formularios especiales y dispositivos de salida hacia, dentro 
y fuera de la empresa. 


2. Asignar privilegios de acceso a documentos sensibles y dispositivos de salida basandose en el principio del menor privilegio, equilibrando riesgo y 
requerimientos del negocio. 


3. Establecer un inventario de documentos sensibles y dispositivos de salida, y realizar regularmente conciliaciones. 
4. Establecer salvaguardas fisica apropiadas sobre formularios especiales y dispositivos sensibles. 


5. Destruir la informacion sensible y proteger los dispositivos de salida (por ejemplo, desmagnetizando los soportes magnéticos, destruyendo 
fisicamente los dispositivos de memoria, poniendo trituradoras 0 papeleras cerradas para destruir formularios especiales y otros documentos 


confidenciales). 
Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Entradas de COBIT 5) 


Descripcion 


Practicas de Gestion 


no autorizados y asegurar que cualquier evento esté 
integrado con la supervision general de eventos y la 
gestion de incidentes. 


e Registros de incidentes 
de seguridad 


DSS05.07 Supervisar la infraestructura para 
detectar eventos relacionados con la seguridad. 
Usando herramientas de deteccidn de intrusiones os 
: : ,  Caracteristicas de Interno 
supervisar la infraestructura para detectar accesos incidentes de seguridad 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


1. Registrar los eventos relacionados con la seguridad reportados por las herramientas de monitorizacion de la seguridad de la infraestructura, 
identificando el nivel de informacién que debe guardarse en base a la consideraci6n de riesgo . Retenerla durante un periodo apropiado para ayudar 
en futuras investigaciones. 


2. Definir y comunicar la naturaleza y caracteristicas de los incidentes potenciales relacionados con la seguridad de forma que sean facilmente 
reconocibles y sus impactos comprendidos para permitir una respuesta acorde. 


3. Revisar regularmente los registros de eventos para detectar incidentes potenciales. 


4. Mantener un procedimiento para la recopilacién de evidencias en linea con las normas de evidencias forenses locales y asegurar que todos los 
empleados estan concienciados de los requerimientos. 


5. Asegurar que los tiques de incidentes de seguridad se crean en el momento oportuno cuando la monitorizacion identifique incidentes de seguridad 
potenciales. 


Entrega, Servicio y Soporte 
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APENDICE B 
GuiA DETALLADA: CATALIZADOR DE PROCESOS 


Area: Gestion 
DSSO06 Gestionar Controles de Proceso de Negocio Dominio: Entrega, Servicio y Soporte 
Descripcion de Proceso COBIT 5 
Definir y mantener controles apropiados de proceso de negocio para asegurar que la informacion relacionada y procesada dentro de la organizacion o 
de forma externa satisface todos los requerimientos relevantes para el control de la informacion. Identificar los requisitos de control de la informacion y 
gestionar y operar los controles adecuados para asegurar que la informacion y su procesamiento satisfacen estos requerimientos. 


Declaracion del Propdsito del Proceso COBIT 5 
Mantener la integridad de la informacion y la seguridad de los activos de informacion manejados en los procesos de negocio dentro de la empresa 0 
externalizados. 


DSSO06 Objetivos y métricas de procesos especificos de seguridad 


Objetivos de Proceso especificos de seguridad Métricas Relacionadas 


1. Se han establecido, revisado y actualizado controles apropiados sobre  Porcentaje de las medidas de la seguridad de la informacion que se han 
los procesos de seguridad de la informacion. implementado adecuadamente o siguen siendo validas. 
2. Se han establecido controles adecuados para proteger la © Numero de incidentes relacionados con la seguridad de la informacion 


confidencialidad, integridad y disponibilidad de los procesos de negocio. causados porque los controles de seguridad de la informacion 
establecidos no eran los adecuados. 


DSS06 Practicas, Entradas/Salidas y Actividades especificos de Seguridad del Proceso 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Entradas de COBIT 5) 


DSS06.01 Alinear actividades de control embebidas Controles de aplicacién Interno 
en los procesos de negocio con los objetivos segura 

corporativos. 

Evaluar y supervisar continuamente la ejecucién de 

las actividades de los procesos de negocio y controles 

relacionados, basados en el riesgo corporativo, para 

asegurar que el procesamiento de controles esta 

alineado con las necesidades del negocio. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


1. Identificar y priorizar los procesos de seguridad de la informacion de acuerdo con el riesgo de negocio, cumplimiento, etc. 
2. Identificar los requisitos especificos de seguridad de la informacion operacionales (por ejemplo, cumplimiento). 
3. Identificar e implementar los controles de aplicacién necesarios. 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Entradas de COBIT 5) 


DSS06.02 Controlar el procesamiento de la 
informacion. 

Operar la ejecucidn de las actividades de proceso de 
negocio y controles relacionados, basados en el riesgo 
corporativo, para asegurar que el procesamiento de la 
informacién es valido, completo, preciso, oportuno y 
seguro (es decir, refleja el uso de negocio autorizado y 
legitimado). 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


0. No existen guias especificas de seguridad de la informacion relevantes para esta practica. Las actividades genéricas de COBIT 5 pueden usarse como 
guia adicional. 
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COBIT®@ para Securipan dE LA INFORMACION 


DSS06 Practicas, Entradas/Salidas y Actividades especificos de Seguridad del Proceso (cont.) 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Entradas de COBIT 5) 


DSS06.03 Gestionar roles, responsabilidades, AP013.01 Declaracion de alcance Roles, responsabilidades Interno 
privilegios de acceso y niveles de autorizacion. del SGSI , privilegios de acceso y 

Gestionar los roles de negocio, responsabilidades, ss05.05 | Registro de accesos _| niveles de autorizacion 

niveles de autoridad y segregacién de tareas necesarias DSS05.05 Registro de accesos actualizados 

para apoyar los objetivos del proceso de negocio. Fuera del Funciones y 

Autorizar el acceso a cualquier activo de informacion ambito de responsabilidades 

relativo a los procesos de informacién del negocio, COBIT 5 para asignadas 

incluyendo aquellos bajo la custodia del negocio, de TI Seguridad de la 

y de terceras partes. Esto asegura que el negocio sabe =| Informacidn 


donde estan los datos y quién los esta manejando en su 
nombre. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Gestionar los roles, responsabilidades, privilegios de acceso y niveles de autoridad para la informacion. 
2. Asignar derechos de acceso basados en los principios de la necesidad de conocer ,minimo privilegio y en los requisitos de los puestos. 
3. Borrar/eliminar los derechos de acceso cuando los usuarios dejan lasposiciones/unidades. 
4. Implementar la separacion de funciones de acuerdo con los procesos de negocio para evitar el fraude y accesos no autorizados. 
5. Hacer seguimiento de las autorizaciones. 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Entradas de COBIT 5) 


Practicas de Gestion Descripcion Descripcion 


DSS06.04 Gestionar errores y excepciones. Privilegios de acceso Interno 
Gestionar las excepciones y errores de los procesos de actualizados 

negocio y facilitar su correccion. Incluir escalada errores 

y excepciones en los procesos de negocio y la ejecucion 

de acciones correctivas definidas. Esto proporciona 

garantia de precision e integridad del proceso de 

informacién del negocio. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Asignar/retirar permisos de acceso en situaciones de emergencia. 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Entradas de COBIT 5) 


DSS06.05 Asegurar la trazabilidad de los eventos y 
responsabilidades y de informacion. 

Asegurar que la informacion de negocio puede 

ser rastreada hasta los responsables y eventos de 
negocio que la originan. Esto permite trazabilidad 

de la informacién a lo largo de su ciclo de vida y 
procesos relacionados. Proporciona garantias de que la 
informacién que conduce el negocio es de confianza y 
ha sido procesada acorde a los objetivos definidos. 


Entrega, Servicio y Soporte 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


0. No existen guias especificas de seguridad de la informacion relevantes para esta practica. Las actividades genéricas de COBIT 5 pueden usarse como 
guia adicional. 
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APENDICE B 
GuiA DETALLADA: CATALIZADOR DE PROCESOS 


DSS06 Practicas, Entradas/Salidas y Actividades especificos de Seguridad del Proceso (cont) 


Entradas especificas de Seguridad Salidas especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Entradas de COBIT 5) 


DSS06.06 Asegurar los activos de informacion. Fuera del Inventario de activos Informe de violaciones DSS05.03 
Asegurar los activos de informacion accesibles por el ambito de 
negocio a través de los métodos aprobados, incluyendo | COBIT 5 para 
la informacion en formato electrénico (tales como Seguridad de la 
métodos para crear nuevos activos en cualquier Informacion 
forma, dispositivos portatiles, aplicaciones de usuario 

y dispositivos de almacenamiento), informacion en 

formato fisico (tales como documentos fuente o 

informes de salida) e informaci6n en transito. Esto 

beneficia al negocio proporcionando una salvaguarda de 

la informacion de comienzo a fin. 


Actividades especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


1, Hacer cumplir la clasificacién de datos, el uso aceptable y las politicas y procedimientos de seguridad para soportar la proteccion de los activos de 
informacion. 


Para obtener mas informacion acerca de los facilitadores relacionados, por favor consulte 
e Apéndice C. Guia Detallada: Catalizador de Estructuras Organizativas, C.5. Custodios de Informacidn / propietarios de negocio. 
e Apéndice E. Guia Detallada: Catalizador de Informacion. 
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APENDICE B 
Guid DETALLADA: CATALIZADOR DE PROCESOS 


B.5 SUPERVISAR, EVALUAR Y VALORAR (MEA) 


O01 Supervisar, evaluar y valorar el rendimiento y la conformidad. 
O2  Supervisar, evaluar y valorar el sistema de control interno. 


O03  Supervisar, evaluar y valorar la conformidad con los requerimientos externos. 
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APENDICE B 
GuiA DETALLADA: CATALIZADOR DE PROCESOS 


Area: Gestion 
MEA01 Supervisar, evaluar y valorar el rendimiento y la conformidad Dominio: Supervisar, Evaluar y Valorar 
Descripcion de Proceso COBIT 5 


Recolectar, validar y evaluar métricas y objetivos de negocio, de Tl y de procesos. Supervisar que los procesos se estan realizando acorde al rendimiento 
acordado y conforme a los objetivos y métricas y se proporcionan informes de forma sistematica y planificada. 


Declaracion del Propdsito del Proceso COBIT 5 
Proporcionar transparencia de rendimiento y conformidad y conduccion hacia la obtencidn de los objetivos. 


MEA01 Objetivos y métricas de procesos especificos de seguridad 


Objetivos de Proceso especificos de seguridad Métricas Relacionadas 


1. El rendimiento de la seguridad de la informacion es supervisado de ¢ Porcentaje de los procesos de negocio que satisfacen los requerimientos 
forma continua. de seguridad de la informacion definidos. 


2. La seguridad de la informacion y las practicas de riesgo de la  Porcentaje de las practicas de seguridad de la informacion que 
informacion se ajustan a los requisitos de cumplimiento interno. satisfacen los requerimientos de cumplimiento internos. 


MEA01 Practicas, Entradas/Salidas y Actividades de Procesos Especificos de Seguridad 


Practicas de Gobierno 


MEA01.01 Establecer un enfoque de la supervision. | APO01.03 Politicas de seguridad Proceso y procedimiento MEA01.02 
Involucrar a las partes interesadas en el establecimiento de la informaci6n y de supervisién de 
y mantenimiento de un enfoque de supervision que relacionadas. la seguridad de la 


defina los objetivos, alcance y método de medicidn de ae informacion 
las soluciones de negocio, la entrega del servicio y la Beet ald ia 
contribucidn a los objetivos de negocio. Integrar este pee 
enfoque con el sistema de gestion del rendimiento de la : 
compahia. Fuera del ambito } Estandares y regulaciones 
de COBIT 5 para | de seguridad de la 
Seguridad de la | informacion 
Informacion 


Actividades especificas de seguridad (Adicionales a las Entradas COBIT 5) 
1. Identificar y confirmar las partes interesados en seguridad de la informacién. 
2. Involucrar a las partes interesadas y comunicar los requisitos de la seguridad de la informacién y los objetivos de seguimiento y emisién de informes. 
3. Alinear y mantener continuamente el enfoque de supervision y evaluacidn de la seguridad de informacién con los enfoques de Tl y de la empresa. 
4. Establecer el proceso y el procedimiento de supervisidn de la seguridad de informacion. 
5. Acordar un sistema de gestién del ciclo de vida y el proceso de control de cambios para la supervisién y emisién de informes de seguridad de informaci6n. 
6. Solicitar, priorizar y asignar recursos para supervisar la seguridad de informacion. 


Entradas especificas de seguridad Salidas especificas de seguridad 
(Adicionales a las Entradas COBIT 5) (Adicionales a las Entradas COBIT 5) 


MEA01.02 Establecer los objetivos de cumplimiento | MEA01.01 Procesos y procedimiento | Acuerdos sobre métricas y | APO07.04 
y rendimiento. de supervisién de Objetivos de seguridad de | MEA01.04 
Colaborar con las partes interesadas en la definicion, seguridad de la la informacion 

revision periddica, actualizacién y aprobacion de los informacion 

objetivos de rendimiento y cumplimiento enmarcados 

dentro del sistema de medida del rendimiento. 


Actividades especificas de seguridad (Adicionales a las Entradas COBIT 5) 
1. Definir los objetivos de rendimiento de seguridad de la informacion de acuerdo con los estandares globales de rendimiento de TI. 
2. Comunicar el rendimiento de seguridad de informacion y los objetivos de conformidad a las principales partes interesadas con la debida diligencia. 


3. Evaluar si los objetivos y las métricas de seguridad de la informacién son adecuadas, es decir, especificas, medibles, realizables, pertinentes y de 
duracion determinada. 
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MEA01 Practicas, Entradas/Salidas y Actividades de Procesos Especificos de Seguridad (cont.) 


Entradas especificas de seguridad Salidas especificas de seguridad 
(Adicionales a las Entradas COBIT 5) (Adicionales a las Entradas COBIT 5) 
Practicas de Gobierno | Be | __—Descripcién | _———Descripcién | 


MEA01.03 Recopilar y procesar los datos de Fuera del Regulaciones aplicables Datos de seguimiento Interno 
cumplimiento y rendimiento. ambito de procesados 
Recopilar y procesar datos oportunos y precisos de COBIT 5 para 
acuerdo con los enfoques del negocio. Seguridad de la 
Informacion 


Actividades especificas de seguridad (Adicionales a las Entradas COBIT 5) 


1 Recopilar y analizar los datos de rendimiento y de conformidad relativos a la seguridad de la informacion y a la gestion de riesgos de la informacion 
(por ejemplo, métricas de seguridad de la informacion, informes de seguridad de la informacién). 


2. Valorar la eficiencia, idoneidad e integridad de los datos recogidos. 


Practicas de Gobierno 


MEA01.04 Analizar e informar sobre el rendimiento. | MEA01.02 Acuerdo sobre métricas y | Informes de seguridad de | APO01.07 
Revisar e informar de forma periddica sobre el objetivos de seguridad de | la informacién y planes 

desempefio respecto de los objetivos, utilizando la informacion de acciones correctivas 

métodos que proporcionen una vision completa y actualizados 

sucinta del rendimiento de las Tl y encaje con el sistema 

corporativo de supervision. 


Actividades especificas de seguridad (Adicionales a las Entradas COBIT 5) 
1. Disefiar, implementar y acordar una serie de informes de desempefio de seguridad de la informacion. 
2. Comparar los valores de rendimiento con los objetivos y puntos de referencia internos y, cuando sea posible, con puntos de referencia externos 


(industria y competidores clave). 
Entradas especificas de seguridad Salidas especificas de seguridad 
(Adicionales a las Entradas COBIT 5) (Adicionales a las Entradas COBIT 5) 
Practicas de Gobierno | de | ___—Descripcién | _——Descripcién | 


MEA01.05 Asegurar la implantacion de medidas Fuera del Guias de escalado Proceso de seguimiento Interno 
correctivas. ambito de de acciones correctivas en 

Apoyar a las partes interesadas en la identificacion, COBIT 5 para materia de seguridad de la 

inicio y seguimiento de las acciones correctivas para Seguridad de la informacion 

solventar anomalias. Informacion 


Actividades especificas de seguridad (Adicionales a las Entradas COBIT 5) 
1. Desarrollar un proceso de seguimiento para las acciones correctivas en materia de seguridad de la informacion. 


Para obtener mas informacion acerca de los facilitadores relacionados, por favor consulte 

 Apéndice F. Guia Detallada: Catalizador de Servicios, Infraestructura y Aplicaciones, F.10, proporcionar seguimiento y servicios de alerta para eventos 
relacionados con la seguridad. 

e Apéndice G. Guia Detallada: Catalizador de Personas, Habilidades y Competencias, G.6, evaluacion de la informacion, pruebas y cumplimiento. 
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APENDICE B 
GuiA DETALLADA: CATALIZADOR DE PROCESOS 


Area: Gestion 
MEA02 Supervisar, Evaluar y Valorar el Sistema de Control Interno Dominio: Supervisar, Evaluar y Valorar 
Descripcién del Proceso COBIT 5 
Supervisar y evaluar de forma continua el entorno de control, incluyendo tanto autoevaluaciones como revisiones externas independientes. Facilitar a la 
Direcci6n la identificacion de deficiencias e ineficiencias en el control y el inicio de acciones de mejora. Planificar, organizar y mantener normas para la 
evaluacion del control interno y las actividades de aseguramiento. 


Declaracion del Propdsito del Proceso COBIT 5 
Ofrecer transparencia a las partes interesadas claves respecto de la adecuacion del sistema de control interno para generar confianza en las 
operaciones, en el logro de los objetivos de la compafia y un entendimiento adecuado del riesgo residual. 


MEAO2 Objetivos y Métricas de Seguridad Especificos del Proceso 


Objetivos de Seguridad Especificos del Proceso Métricas Relacionadas 


1. Los controles de seguridad de la informacién estan desplegados y ¢ Porcentaje de los procesos que satisfacen los requerimientos de control 
operan eficazmente. de seguridad de la informacion 

¢ Porcentaje de controles en los que se cumplen los requisitos de control 
de seguridad de la informacién 


2. Hay establecidos procesos de monitorizacion para los controles de  Porcentaje de controles de seguridad de la informacién adecuadamente 
seguridad y se informa de sus resultados. monitorizados con resultados informados y revisados 
MEA02 Practicas de Seguridad Especificos del Proceso, Entradas/Salidas y Actividades 


Entradas especificas de seguridad Salidas Especificas de Seguridad 
(Adicionales a las Entradas COBIT 5) (Adicionales a las Salidas de COBIT 5) 


MEA02.01 Supervisar el control interno. AP001.03 Politicas de seguridad de | Alcance para el MEA02.03 
Realizar, de forma continua, la supervision, los estudios la informacion y afines aseguramiento de 

comparativos y la mejora el entorno de control de Informe de auditoria del seguridad de la 

Tl y el marco de control para alcanzar los objetivos SGSI informaci6n y estrategia 


organizativos. /aP013.03 __| informe de aucitoria ISMS_ de evaluacion de controles 
AP013.03 Informe de auditoria ISMS intemos detinides 


Fuera del Auditorias externas 
ambito de independientes 
COBIT 5 para 

Seguridad de la 

Informacion 


Actividades Especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Realizar una revision periddica de las politicas y procedimientos de seguridad de la informacion. 


2. Determinar el alcance del aseguramiento p.ej. controles de seguridad de la informacién a evaluar. 
3. Establecer un enfoque formal para el aseguramiento de seguridad de la informacion. 


Entradas Especificas de Seguridad Salidas Especificas de Seguridad 
(Adicionales a las Entradas de COBIT 5) (Adicionales a las Salidas de COBIT 5) 


Practica de Gestion Descripcion 


MEA02.02 Revisar la efectividad de los controles Evidencia de la efectividad | Interno 
sobre los procesos de negocio. de los controles 
Revisar la operacion de controles, incluyendo la de seguridad de la 
revision de las evidencias de supervision y pruebas, informacion 

para asegurar que los controles incorporados en los 

procesos de negocio operan de manera efectiva. Incluir 

actividades de mantenimiento de evidencias de la 

operacion efectiva de controles a través de mecanismos 

como la comprobacion periddica de controles, 

supervision continua de controles, evaluaciones 

independientes, centros de mando y control y centros 

de operacion de red. Esto proporciona al negocio 

de la seguridad de la efectividad del control para 

satisfacer los requisitos relativos al negocio y a las 

responsabilidades sociales y regulatorias. 


Actividades Especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Medir la eficacia de los controles de seguridad de la informacion. 
2. Realizar revisiones regulares de aplicaciones, sistemas y redes. 
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MEA02 Practicas de Seguridad Especificos del Proceso, Entradas/Salidas y Actividades (cont.) 


Practica de Gestion 


MEA02.03 Realizar autoevaluacion de control. 
Estimular a la Direcci6n y a los propietarios de los 
procesos a tomar posesion de manera firme del 
procedimiento de mejora del control, a través de 
programas continuos de autoevaluacion que valoren 
la completitud y efectividad del control de la Direccién 
sobre los procesos, politicas y contratos. 


MEA02.01 Alcance para el 
aseguramiento de 
seguridad de la 
informacion y estrategia 
de evaluacion de controles 


internos definidos 


Evaluaciones de MEA02.04 
aseguramiento de 
seguridad de la 


informacién 


Actividades Especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


1. Realizar evaluaciones del aseguramiento de seguridad de la informacion (independientes y auto-evaluaciones) para identificar debilidades de los 


controles. 


Practica de Gestion 


MEA02.04 Identificar y comunicar las deficiencias 
de control 

Identificar deficiencias de control y analizar e identificar 
las causas raices subyacentes. Escalar las deficiencias 
de control y comunicarlas a las partes interesadas. 


Entradas especificas de seguridad 
(Adicionales a las Entradas COBIT 5) 


MEA02.03 Evaluaciones de 
aseguramiento de 
seguridad de la 


informacién 


Salidas Especificas de Seguridad 
(Adicionales a las Salidas de COBIT 5) 


Descripcion Descripcion 


Resultados de la MEA02.08 
evaluacion y acciones de 


remedio 


Actividades Especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Revisar los informes de incidentes de seguridad de la informacién para identificar deficiencias de los controles. Informar y abordar las deficiencias 


detectadas. 
Entradas especificas de seguridad Salidas Especificas de Seguridad 
(Adicionales a las Entradas COBIT 5) (Adicionales a las Salidas de COBIT 5) 
Pde | __Descripoion | _—Desorncion | 


Interno 


Practica de Gestion 


MEA02.05 Garantizar que los proveedores de Competencias en 
aseguramientos sean independientes y cualificados. habilidades y conocimiento 
Asegurar que las entidades que realizan el 

aseguramiento sean independientes de la funcion, grupo 

u organizacion en el alcance. Las entidades que realizan 

el aseguramiento deberian demostrar una actitud y 

apariencia apropiadas y adecuada competencia en las 

habilidades y conocimientos que son necesarios para 

realizar el aseguramiento y la adherencia a los cddigos 

de ética y los estandares profesionales. 


Actividades Especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


1. Establecer competencias y cualificaciones para el proveedor de aseguramiento. 


Practica de Gestion 


MEA02.06 Planificar iniciativas de aseguramiento. 
Planificar las iniciativas de aseguramiento basandose 
en los objetivos empresariales y las prioridades 
estratégicas, riesgo inherente, restricciones de recursos 
y suficiente conocimiento de la compajia. 


Entradas especificas de seguridad 
(Adicionales a las Entradas COBIT 5) 


Descripcion 


Fuera del 
ambito de 
COBIT 5 para 
Seguridad de la 
Informacion 


Plan de compromiso 


Salidas Especificas de Seguridad 
(Adicionales a las Salidas de COBIT 5) 


Descripcion 


Plan de compromiso Interno 


actualizado 


Actividades Especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Aceptar los objetivos de la revisién de aseguramiento de seguridad de la informacidn. 


Practica de Gestion 


MEA02.07 Estudiar las iniciativas de aseguramiento. 
Definir y acordar con la direccion el ambito de la 
iniciativa de aseguramiento, basandose en los objetivos 
de aseguramiento. 


Entradas especificas de seguridad 
(Adicionales a las Entradas COBIT 5) 


Fuera del 
ambito de 
COBIT 5 para 
Seguridad de la 
Informacion 


Plan de compromiso 


Plan de compromiso 
actualizado 


Salidas Especificas de Seguridad 
(Adicionales a las Salidas de COBIT 5) 


Descripcion 
Interno 


Actividades Especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 


1. Documentar los detalles del compromiso de la organizacién en completar la revision. 
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Guid DETALLADA: CATALIZADOR DE PROCESOS 


MEA02 Practicas de Seguridad Especificos del Proceso, Entradas/Salidas y Actividades (cont.) 


Practica de Gestion | De 


MEA02.08 Ejecutar las iniciativas de aseguramiento. | DSS05.02 Resultados de pruebas de | Informes y Interno 
Ejecutar la iniciativa de aseguramiento planificada. intrusién recomendaciones de 


los riesgos residuales identificados en el desempefio remedio 


operacional, el cumplimiento externo y el sistema de 
control interno. 


Informar de los hallazgos identificados. Proveer auditorias externas 
opiniones de aseguramiento positivo, cuando sea MEA02.04 heer ° - — de seguridad de la 
Oportuno, y recomendaciones de mejora relativas a informacion 


Actividades Especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Producir y emitir informes firmados sobre el aseguramiento de seguridad de la informacion. 


Para mas informacion relativa a los catalizadores relacionados, por favor consulte: 

e Apéndice A. Guia Detallada: Catalizador de Principios, Politicas y Marcos de Referencia 

e Apéndice F: Guia Detallada: Servicios, Infraestructura y Aplicaciones, F.10 Proporcionar Servicios de Monitorizacion y Alerta para Eventos de Seguridad 
e Apéndice G: Guia Detallada: Personas, Habilidades y Competencias, G.6. Evaluacién de la Informacion y Pruebas y Cumplimiento 
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APENDICE B 
GuiA DETALLADA: CATALIZADOR DE PROCESOS 


MEA03 Supervisar, Evaluar y Valorar la Conformidad con los Requerimientos Area: Gestion 
Externos Dominio: Supervisar, Evaluar y Valorar 


Descripcién del Proceso COBIT 5 

Evaluar el cumplimiento de requisitos regulatorios y contractuales tanto en los procesos de Tl como en los procesos de negocio dependientes de las 
tecnologias de la informacion. Obtener garantias de que se han identificado, se cumple con los requisitos y se ha integrado el cumplimiento de TI en el 
cumplimiento de la empresa general. 


Declaracion del Propdsito del Proceso COBIT 5 
Asegurar que la empresa cumple con todos los requisitos externos que le sean aplicables. 


MEAO3 Objetivos y Métricas de Seguridad Especificos del Proceso 


Objetivos de Seguridad Especificos del Proceso Métricas Relacionadas 


1. Las practicas de riesgos y seguridad de la informacion conformes con  Porcentaje de practicas de seguridad de la informacion que satisfacen 
los requerimientos de cumplimiento de externos. los requerimientos externos de conformidad 


2. Se realiza una supervision de los requisitos externos nuevos 0 revisados | ¢ Numero o porcentaje de proyectos iniciados por seguridad de la 
que impactan en la seguridad de la informacidn. informacion para implementar nuevos requerimientos externos 


MEAO3 Practicas de Seguridad Especificos del Proceso, Entradas/Salidas y Actividades 


Entradas especificas de seguridad Salidas Especificas de Seguridad 
(Adicionales a las Entradas COBIT 5) (Adicionales a las Salidas de COBIT 5) 


Practica de Gestion | De Descripcion Descripcion | oA 


MEA03.01 Identificar requisitos externos de BAI02.01 Requerimientos Requerimientos externos |} BAIO2.01 
cumplimiento. de seguridad de la de cumplimiento 

Identificar y supervisar, de manera continuada, cambios informacion de seguridad de la 

en las legislaciones y regulaciones tanto locales como informacion 

internacionales, asi como otros requisitos externos de 
obligado cumplimiento en el area de TI. 


Fuera del Estandares y regulaciones 
ambito de de seguridad de la 
COBIT 5 para informacion 

Seguridad de la 

Informacion 


Actividades Especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Establecer acuerdos para supervisar la conformidad de seguridad de la informacion con requerimientos externos. 
2. Identificar objetivos de cumplimiento de seguridad de la informacion con requerimientos externos. 


3. Determinar los requerimientos externos de cumplimiento que deben satisfacerse (incluyendo legales, regulatorios, de privacidad y contractuales). 


4. \dentificar y comunicar las fuentes de materiales relativos a seguridad de la informacién que ayuden a cumplir los requerimientos de cumplimiento 


externos. 
Entradas especificas de seguridad Salidas Especificas de Seguridad 
(Adicionales a las Entradas COBIT 5) (Adicionales a las Salidas de COBIT 5) 


MEA03.02 Optimizar la respuesta a requisitos Fuera del Regulaciones aplicables Requerimientos externos _| Interno 
externos. ambito de actualizados 

Revisar y ajustar politicas, principios, estandares, COBIT 5 para 

procedimientos y metodologias para asegurar la Seguridad de la 

adecuada gestién y comunicacidn de los requisitos Informacion 

legales, regulatorios y contractuales. Considerar qué 

estandares sectoriales, codigos de buenas practicas 

y guias de mejores practicas pueden adoptarse y 

adaptarse. 


Actividades Especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Revisar y comunicar los requerimientos externos a todos los grupos de interés relevantes. 


Entradas especificas de seguridad Salidas Especificas de Seguridad 
(Adicionales a las Entradas COBIT 5) (Adicionales a las Salidas de COBIT 5) 


MEA03.03 Confirmar el cumplimiento de requisitos Informe de conformidad Interno 
externos. de seguridad de la 

Confirmar el cumplimiento de las politicas, los informacion 

principios, los estandares, los procedimientos y las 

metodologias con los requisitos legales, regulatorios y 

contractuales. 


Actividades Especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Recopilar y analizar los datos de conformidad relacionados con la gestion de la seguridad y de los riesgos de la informacion. 
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MEAO3 Practicas de Seguridad Especificos del Proceso, Entradas/Salidas y Actividades (cont.) 


Entradas especificas de seguridad Salidas Especificas de Seguridad 
(Adicionales a las Entradas COBIT 5) (Adicionales a las Salidas de COBIT 5) 


Descripcion Descripcion | oA 


Practica de Gestion 


MEA03.04 Obtener garantia del cumplimiento de Informes de Interno 
requisitos externos. aseguramiento de la 

Obtener y notificar garantias de cumplimiento conformidad 

y adherencia a politicas, principios, estandares, 

procedimientos y metodologias. Confirmar que las 

acciones correctivas para tratar las diferencias en el 

cumplimiento son cerradas a tiempo. 


Actividades Especificas de Seguridad (Adicionales a las Actividades de COBIT 5) 
1. Obtener evidencias de las terceras partes. 


Para mas informacion relativa a los catalizadores relacionados, por favor consulte: 

 Apéndice A. Guia Detallada: Catalizador de Principios, Politicas y Marcos s de Referencia 

 Apéndice F: Guia Detallada: Servicios, Infraestructura y Aplicaciones, F.10 Proporcionar Servicios de Monitorizacion y Alerta para Eventos de Seguridad 
 Apéndice G: Guia Detallada: Personas, Habilidades y Competencias, G.6. Evaluacién de la Informacién y Pruebas y Cumplimiento 
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APENDICE C 
Guid DETALLADA: CATALIZADOR DE ESTRUCTURAS ORGANIZATIVAS 





Catalizadores de COBIT 5 


APENDICE C 
Guid DETALLADA: CATALIZADOR 
DE ESTRUCTURAS ORGANIZATIVAS 





























Este apéndice trata del uso y la optimizacion de las entidades clave de toma de decision 
sobre seguridad de la informacion en una empresa, sobre la base de la introduccion del catalizador estructuras 
organizativas en la seccion II: 

* CISO (como se define en el marco de COBIT 5) 

*ISSC 

* ISM (como se define en el marco de COBIT 5) 

* Comité de ERM 

* Custodios de la Informacidn/propietarios del negocio 


Se proporcionan descripciones detalladas de estos grupos y roles, incluyendo: 

* Composici6n—Debe requerirse un conjunto apropiado de habilidades a todos los miembros del grupo 
organizativo. 

¢ Mandato, principios operativos, Aambito de control y nivel de autoridad—Estos elementos describen 
los acuerdos practicos de como operara la estructura, los limites de los derechos de decision de la estructura 
organizativa, las responsabilidades (tanto lo que ha de hacer, cdmo de lo que es responsable de que se haga), y el 
escalado 0 acciones requeridas en caso de problemas. 

¢ Matriz RACI de alto nivel—Las matrices RACI unen las actividades de proceso con las estructuras organizativas 
y/o los roles individuales en la empresa. Describen el nivel de implicacion de cada rol para cada practica del 
proceso: (A) Responsable de que se haga, (R) Responsable de hacerlo, (C) Consultado e (1) Informado. 

¢ Entradas/Salidas—Una estructura requiere entradas (normalmente informacion) antes de que se puedan tomar 
decisiones informadas, y produce salidas tales como decisiones, otra informacion 0 peticiones de informacién 
adicional. 


C.1 Director de Seguridad de la Informacion (CISO) 


Mandato, Principios Operativos, Ambito de Control y Nivel de Autoridad 
La figura 25 lista las caracteristicas del CISO. 


Figura 25—CISO: Mandato, Principios Operativos, Ambito de Control y Nivel de Autoridad 


pea CCCCCaracteristica Cid 
La responsabilidad completa del programa de seguridad de la informacion de la empresa. 


Principios operativos Dependiendo de los factores variables en una empresa, el CISO puede reportar al CEO, COO, CIO, CRO 0 a otro ejecutivo 
sénior. 


EI CISO es el enlace entre la direccidn ejecutiva y el programa de seguridad de la informacion. El CISO debe también 
comunicar y coordinarse de manera muy cercana con los grupos de interés clave del negocio para cubrir las 
necesidades de proteccidn de la informacién. 


El CISO debe: 

e Tener un entendimiento exacto de la visién estratégica del negocio 

e Ser un comunicador efectivo 

e Ser habil en construir relaciones efectivas con los lideres del negocio 

Ser capaz de traducir los objetivos del negocio en requerimientos de seguridad de la informacion 


Ambito de control EI CISO es responsable de: 
 Establecer y mantener un sistema de gestién de seguridad de la informacién (SGSI) 
¢ Definir y gestionar un plan de tratamiento del riesgo de la informacion 
e Supervisar y revisar el SGSI 
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Nivel de autoridad/derechos EI CISO es responsable de implementar y mantener la estrategia de seguridad de la informacidn. 
de decision 


La responsabilidad de que se haga (y la aprobacidn de las decisiones importantes) reside en la funcion a la que el CISO 


reporta, por ejemplo, un miembro de Ia directiva ejecutiva sénior o el ISSC. 


Derechos de delegacion EI CISO debe delegar las tareas a los gerentes de seguridad de la informaci6n y a personal de negocio. 
EI CISO debe escalar problemas clave relacionados con el riesgo de informacion a su supervisor directo y/o al ISSC. 





Matriz RACI a Alto Nivel 
La matriz RACI en la figura 26 esta limitada a ejemplos importantes de practicas claves para las cuales el CISO debe ser 
responsable de que se hagan o realizarlas. 


Figura 26—CISO: Matriz RACI a Alto Nivel con Practicas Clave 


Practica de Proceso Nivel de Implicacién (RACI) 


Identificar y comunicar amenazas para la seguridad de la informacion, comportamientos deseables y cambios Responsable de que se haga 
necesarios para tratar estos puntos. 


Proporcionar formas de mejorar la eficiencia y la eficacia de la funcién de seguridad de la informacién (por ejemplo, Responsable de que se haga 
mediante formacion del personal de seguridad de la informacién; documentacidn de procesos, tecnologia y 
aplicaciones; y la estandarizacion y automatizacién del proceso). 


Supervisar la gestion del riesgo en TI. Responsable de hacerla 


Definir y comunicar la estrategia en seguridad de la informacion que esta alineada con la estrategia del negocio. Responsable de hacerla 


Investigar, definir y documentar los requerimientos en seguridad de la informacion. Responsable de hacerla 


Validar los requerimientos en seguridad de la informacion con las partes interesadas, patrocinadores del negocio y Responsable de hacerla 
personal de despliegue técnico. 


Desarrollar politicas y procedimientos de seguridad de la informacion. Responsable de hacerla 


Definir e implementarestrategias de evaluacién del riesgo y de respuesta y cooperar con la oficina del riesgo para Responsable de hacerla 
gestionar el riesgo de la informacidn. 


Asegurar que se evalua el impacto potencial de los cambios. Responsable de hacerla 


Recoger y analizar datos del rendimiento y de cumplimiento relativos a seguridad de la informacion y gestion del riesgo | Responsable de hacerla 
de la informacién. 


Entradas/Salidas 

Una estructura requiere entradas (normalmente informacion) antes de que se puedan tomar decisiones informadas, y 
produce salidas tales como decisiones, otra informacion 0 peticiones de informacion adicional. La figura 27 contiene una 
lista no exhaustiva de tales entradas y salidas.° 





Figura 27—CISO: Entradas y Salidas 


ERM Estrategia de seguridad de la Comité de ERM 
informacion 


Mandato regulatorio/de Externo Politicas, estandares Empresa 
cumplimiento procedimientos 
Organizaci6n/T| Plan de remediacion a las Auditoria 
recomendaciones de auditoria 





> Estas entradas y salidas no deben confundirse con las entradas y salidas de proceso como se describe en la seccién II. Sin embargo, en algunos casos, las 
entradas y salidas de una estructura organizativa son informacion entregada por un proceso, en cuyo caso, son salidas de proceso. 
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C.2 Comité de Direccion de Seguridad de la Informacion 


Composicion 
La figura 28 describe los roles de los miembros del ISSC. 


Figura 28—ISSC: Composicién 


pT serpin Cd 
CISO e Presidir el ISSC y ser el enlace con el Comité de ERM 

¢ Responsable de toda la seguridad de la informacion de la empresa 

Comunicacién de las practicas de disefio, implementacién y monitorizacion 


Cuando sea aplicable, el ISM discute las soluciones de disefio por adelantado con los arquitectos de seguridad de la 
informacion para mitigar los riesgos de la informacion identificados. 


Custodios de la informacién/ | © Acargo de ciertos procesos o aplicaciones de negocio 


propietarios del negocio ¢ Responsables de comunicar tanto iniciativas de negocio que puedan impactar en la seguridad de la informacion 
como el impacto que las practicas de seguridad de la informacién puedan causar a los usuarios 
¢ Pueden tener una comprension del riesgo de negocio/operativo, costes y beneficios, asi como de determinados 
requerimientos de seguridad de la informacion para su area de negocio 


Gerente de Tl Informar del estado de las iniciativas de seguridad de la informacion relacionadas con TI 


Representantes de las Aportar la opinion de los especialistas al comité cuando sea relevante, por ejemplo, de representantes de auditoria 
funciones especializadas interna, RRHH, legal, riesgo, oficial de gestidn de proyectos (PMO). 


A estas funciones se les puede pedir que se unan al ISSC en ocasiones 0 como miembros permanentes. Puede 
merecer la pena tener representantes de auditoria interna como miembros permanentes para dar consejo al comité 
sobre el riesgo de cumplimiento. 





Mandato, Principios Operativos, Ambito de Control y Nivel de Autoridad 
La figura 29 describe las caracteristicas del ISSC. 


Figura 29—ISSC: Mandato, Principios Operativos, Ambito de Control y Nivel de Autoridad 


| Area Caracteristca 


Mandato Asegurar que las buenas practicas, que la seguridad de la informacién se aplican de forma eficaz y consistentemente 
en toda la empresa. 


Principios operativos EI ISSC se retine de manera regular, cuando sea necesario para la empresa. Se pueden planificar reuniones mas 
frecuentes durante iniciativas especificas o cuando haya problemas que necesiten ser gestionados urgentemente. 

© Se permiten sustitutos o representantes, pero deben limitarse. 

Se debe limitar la pertenencia al comité a un numero pequefio de lideres estratégicos y tacticos para asegurar la 
comunicaci6n bidireccional y la toma de decisiones adecuadas. Otros lideres de negocio pueden ser invitados segun 
la necesidad. 

Todas las actas de las reuniones deben ser aprobadas y retenidas por un determinado periodo de tiempo. 

e El CISO preside las reuniones del ISSC. 


Ambito de control EI ISSC es responsable en la toma de decisiones de seguridad de la informacion para toda la empresa. 


Nivel de autoridad/derechos EI ISSC es responsable de las decisiones de seguridad de la informacion de la empresa en apoyo a las decisiones 
de decision estratégicas del comité de ERM. 


Derechos de delegacién EI ISSC es el ultimo responsable de la estrategia de disefio e implementacién del programa de seguridad de la 
informacién y esta responsabilidad no se puede delegar a otros roles miembros. 


Escalado Todos los problemas deben ser escalados al miembro responsable de seguridad de la informacion pertinente de la 
direccién ejecutiva. 


Las estrategias del riesgo de la informacion de la empresa deben ser escaladas para su aprobacién al comité de ERM. 








171 


COBIT®@ para Securipan DE LA INFORMACION 


Matriz RACI a Alto Nivel 
La figura 30 describe el nivel de implicacion del ISSC. 


Figura 30—ISSC: Matriz RACI a Alto Nivel 


Practica de Proceso Nivel de Implicacion (RACI) 


Definir y comunicar la estrategia de seguridad de la informacidn que esta alineada con la estrategia del negocio. Responsable de que se haga 


Investigar, definir y documentar los requerimientos en seguridad de la informacion. Responsable de que se haga 


Validar los requerimientos en seguridad de la informaci6n con las partes interesadas, patrocinadores del negocio y Responsable de que se haga 
personal de despliegue técnico. 


Desarrollar politicas y procedimientos de seguridad de la informacion. Responsable de que se haga 


Desarrollar un plan de seguridad de la informacion que identifique el entorno de seguridad de la informacion y las Responsable de que se haga 
actividades a ser implementadas por el equipo de proyecto para proteger los activos de la organizacion. 


Asegurar que se evalua el impacto potencial de los cambios. Responsable de que se haga 


Recoger y analizar datos del rendimiento y de cumplimiento relativos a seguridad de la informacién y gestidn del riesgo de | Responsable de que se haga 
la informacion. 


Establecer, acordar y comunicar el rol del CISO y el ISM. Responsable de hacerla 
Aumentar el perfil de la funcién de seguridad de la informacion dentro de la empresa y potencialmente fuera de ella. Responsable de hacerla 
Contribuir al esfuerzo en la gestién de la continuidad de negocio de toda la empresa. Responsable de hacerla 


Entradas/Salidas 

Una estructura requiere entradas (normalmente informacion) antes de que se puedan tomar decisiones informadas, y 
produce salidas tales como decisiones, otra informacion 0 peticiones de informacion adicional. La figura 31 contiene una 
lista no exhaustiva de tales entradas y salidas.° 





Figura 31—ISSC: Entradas y Salidas 


Estrategia de negocio Consejo de Administracién Programa y estrategia de seguridad | Comité de ERM, ISMs, custodios de 
de la informacion la Informacién/duefos del negocio 

Niveles de aceptacién del riesgo Comité de ERM Perfil del riesgo de la informacion Comité de ERM 

Estrategia de T Me 


Listado de proyectos de la empresa | Custodios de la informacién/ 
propietarios del negocio, PMO 


Informes de auditoria interna Auditoria interna 





C.3 Gerente de Seguridad de la Informacion (ISM) 


Mandato, Principios Operativos, Ambito de Control y Nivel de Autoridad 
La figura 32 presenta las caracteristicas del ISM. 


Figura 32—ISM: Mandato, Principios Operativos, Ambito de Control y Nivel de Autoridad 


Responsabilidad completa de la gestion de los esfuerzos en seguridad de la informacién 
Informa al CISO (0, en algunas empresas, a los lideres de las unidades de negocio) 


Seguridad de la informacion en aplicaciones, en infraestructuras, gestidn de accesos, gestién de amenazas e 


incidentes, gestin del riesgo, programa de concienciacién, métricas, evaluacion de proveedores 


Autoridad completa en la toma de decisiones sobre las practicas del dominio de la seguridad de la informacion 


No debe delegar las decisiones relacionadas con las practicas del dominio de la seguridad de la informacion 
Escalado Escalar problemas al CISO 








® Estas entradas y salidas no deben confundirse con las entradas y salidas de procesos descritas en la seccion II. Sin embargo, en algunos casos, las entradas y 
salidas de estructuras organizativas son informaciones proporcionadas por un proceso, en cuyo caso se consideran salidas de procesos. 
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Matriz RACI de Alto Nivel 
La figura 33 muestra el nivel de implicacién del ISM. 


Figura 33—ISM: Matriz RACI de Alto Nivel 


Practica del Proceso 


Desarrollar y comunicar una visién comun al equipo de seguridad de la informacion que esté en linea con la 
declaracién de visién corporativa. 


Gestionar la asignacién de personal de seguridad de la informacion de acuerdo con las necesidades del negocio. 


Realizar evaluaciones de riesgos de la informacidn y definir el perfil de riesgo de la informacidn. 


Gestionar roles, responsabilidades, privilegios de accesos y niveles de autoridad. 


Desarrollar un plan de seguridad de la informacion que identifique el entorno de seguridad de la informacion y los 
controles que deben ser implementados por el equipo del proyecto para proteger los activos de la organizacién. 
Supervisar estos controles internos y ajustarlos/mejorarlos cuando sea necesario. 


Identificar y comunicar los puntos débiles de la seguridad de la informacion, los comportamientos deseables y los 
cambios necesarios para hacer frente a estas debilidades. 


Proporcionar formas de mejorar la eficiencia y la eficacia de la funcién de seguridad de la informacion (por 
ejemplo,mediante formacidn del personal de seguridad de la informacion; documentacién de procesos, tecnologia y 
aplicaciones; y la estandarizacion y automatizacién del proceso). 


Recoger y analizar datos del rendimiento y de cumplimiento relativos a seguridad de la informacion y gestion del riesgo 
de la informacion. 


Asegurar que la gestion del entorno y de las instalaciones se adhiere a los requerimientos en seguridad de la 
informacion. 





Entradas/Salidas 

Una estructura requiere entradas (normalmente informacion) antes de que se puedan tomar decisiones informadas, y 
produce salidas tales como decisiones, otra informacion, 0 peticiones de informacion adicional. La figura 34 contiene una 
lista no exhaustiva de tales entradas y salidas.’ 


Figura 34—ISM: Entradas y Salidas 


Estrategia de seguridad de la 
informacion 


Planificacién/arquitectura/ 
configuraciones de infraestructura 
de Tl 


Politicas/estandares/ 
procedimientos de seguridad de la 
informacién 


Tolerancia al riesgo 


Disefo, implementacién y planes 
de mejora para las practicas de 
seguridad de la informacion 


Evaluaciones periddicas de riesgos 
de la informaci6n y pruebas de 

las practicas de seguridad de la 
informacion y de contramedidas 


Informes de situaci6n de la 
implementacion de la seguridad de 
la informacién 


Mandato regulatorio/de E 
cumplimiento 
Estrategia de negocioy deTl__| Organizacién/ rr) 
Informes de auditoria autora PO 








7 Estas entradas y salidas no deben confundirse con las entradas y salidas de procesos descritas en la seccion II. Sin embargo, en algunos casos, las entradas y 
salidas de estructuras organizativas son informaciones proporcionadas por un proceso, en cuyo caso se consideran salidas de procesos. 
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C.4 Comité de Gestion de Riesgo Empresarial 


El comité de ERM es responsable de todas la toma de decisiones de la empresa relativas a la evaluacion, control, optimizacion, 
financiacion y monitorizacion de todas las fuentes de riesgo, con el proposito de incrementar el valor de la empresa a corto y 
largo plazo para todas sus partes interesadas. 


Composicion 
La figura 35 muestra los roles de los miembros del comité de ERM. 


Figura 35—Comité de ERM: Composicién 


CISO En un escenario dptimo, el CISO es miembro del comité de ERM, para proporcionar al comité asesoramiento sobre riesgos 
especificos de la informacion. 
CEO, COO, CFO, etc. | Representante de la alta direcci6n ejecutiva. 


Propietarios de los | ¢ Acargo de ciertos procesos 0 aplicaciones de negocio 
procesos clave para | « Responsables de comunicar tanto iniciativas de negocio que puedan impactar en la seguridad de la informacién como el 
el negocio impacto que las practicas de seguridad de la informacién puedan causar a los usuarios 


 Pueden tener una comprension del riesgo de negocio/operativo, costes y beneficios, asi como de determinados requerimientos 
de seguridad de la informacion para su area de negocio 


Auditoria/ Proporciona informacion especializada cuando sea relevante. Se les puede pedir su incorporacién al comité de ERM de manera 
cumplimiento ocasional 0 como miembro permanente. Por ejemplo, puede merecer la pena tener representantes de la auditoria interna como 
miembros permanentes con objeto de asesorar al comité en materia de riesgo de cumplimiento. 


Representante legal | Proporciona asesoramiento legal. Se le puede pedir su incorporacién al comité de ERM de manera ocasional 0 como miembro permanente. 


Proporciona informacion especializada cuando sea relevante. Se le puede solicitar su incorporacién al comité de ERM de manera 
ocasional 0 como miembro permanente. 





Matriz RACI de Alto Nivel 
La figura 36 muestra el nivel de implicacién de los miembros del comité de ERM. 


Figura 36—Comité de ERM: Matriz RACI de Alto Nivel 


Practica del Proceso Nivel de Implicacion (RACI) 
Asesorar sobre la estrategia de seguridad de la informacién definida por el ISSC. Responsable de hacerla 


Establecer los niveles de tolerancia al riesgo de la empresa. Responsable de que se haga 
Definir e implementar las estrategias de evaluacion y de respuesta al riesgo. Responsable de que se haga 
Revisar las evaluaciones de riesgos de la informacion y los perfiles de riesgos. Responsable de que se haga 





C.5 Custodios de la Informaci6n/Propietarios de Negocio 


Composicion 

Los custodios de la informacion o los propietarios de negocio actuan como enlaces entre las funciones de negocio y de 
seguridad de la informacion. Pueden ser asociados con tipos de informacion, aplicaciones especificas, o unidades de 
negocio dentro de una empresa. La persona que desempefie este rol debe poseer un buen conocimiento tanto del negocio 
como de los tipos de informacion que son procesados y que requieren proteccion. Actuan como asesores de confianza y 
agentes de supervision en cuestiones relativas a la informacion dentro del negocio. 


Este rol deberia equilibrar el riesgo de negocio y el de informacion de modo que las decisiones del negocio no prevalezcan 
siempre sobre las decisiones de la seguridad de la informacion. 


Matriz RACI de Alto Nivel 
La figura 37 muestra el nivel de implicacion de los custodios de informacion y propietarios de negocio. 


Figura 37—Custodios de la Informaci6n/Propietarios de Negocio: Matriz RACI de Alto Nivel 


Practica del Proceso Nivel de Implicacion (RACI) 
Comunicar, coordinar y asesorar a los gestores de negocio sobre los esfuerzos en gestion de riesgos de la informacion. | Responsable de hacerla 


Informar al ISSC sobre cambios en los procesos de negocio y/o en las estrategias (por ejemplo, nuevos productos 0 servicios). | Responsable de hacerla 


Elevar el perfil de la funcién de seguridad de la informacion y de las politicas y procedimientos de seguridad de la Responsable de hacerla 
informacion dentro de la empresa. 
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Este apéndice proporciona detalles sobre los comportamientos de seguridad de la 
informacion tal y como se presentan en la seccion II. Se pueden identificar ocho comportamientos deseables en relacion 
a la seguridad de la informacion (comentados en la parte restante del apéndice) que influiran positivamente tanto en la 
cultura sobre seguridad de la informacion como en su implementacion practica en el dia a dia de la empresa. 





Para cada uno de los comportamientos definidos se describen en este apéndice los atributos siguientes: 

* Etica organizativa—Determinada por los valores con los que la empresa se quiere identificar. 

¢ Eticas individuales—Determinadas por los valores personales de cada individuo dentro de la empresa y 
dependiendo en un importante grado de factores externos tales como creencias, origen étnico, antecedentes 
socioeconomicos, ubicacion geografica y experiencias personales. 

¢ Liderazgo—Maneras en que el liderazgo puede influir en comportamientos apropiados: 
—Como la comunicacion y la aplicacion de normas y reglas puede ser utilizada para influir en el comportamiento. 
—- Incentivos y recompensas que pueden utilizarse para influir en el comportamiento. 
— Mejora de la concienciaci6n. 


D.1 Comportamientos 


Cada uno de los comportamientos siguientes esta presente en las empresas en dos niveles: el nivel organizativo, en el que 
los comportamientos estan determinados por los valores (€ticos, culturales o actitudes) con los que la empresa se quiere 
identificar, y el nivel individual en el que los comportamientos se definen por valores personales (éticos, culturales o 
actitudes). 





Comportamiento 1: La seguridad de la informacion se practica en las operaciones diarias. 

La seguridad de la informacion es parte del funcionamiento diario de la empresa. A nivel organizativo, el comportamiento 
indica que la seguridad de la informacion se acepta como un imperativo empresarial en el establecimiento de los objetivos 
organizativos. A nivel individual, esto significa que a los individuos les importa el bienestar de la empresa y por lo tanto 
aplican técnicas de seguridad de la informacion y un enfoque de prudencia en sus operaciones cotidianas. 








Comportamiento 2: Las personas respetan la importancia de las politicas y principios de la seguridad de la informacion. 
El personal de la empresa reconoce la importancia de las politicas y principios de la seguridad de la informacion. A nivel 
organizativo, la alta direccion respalda las politicas y principios aprobandolas, revisandolas y comunicandolas de manera 
regular. A nivel individual, los empleados han leido y comprendido las politicas, y se sienten capacitados para seguir las 
directivas de la empresa. 











Comportamiento 3: Las personas poseen un nivel detallado y suficiente de orientacién en seguridad de la 
informacion y se les anima a participar y cuestionar la situacion actual de seguridad de la informacion. 





Las personas poseen un nivel detallado y suficiente de orientacion en seguridad de la informacion y se les anima a 
participar y cuestionar la situacion actual de seguridad de la informacion en dos niveles. La cultura organizativa indica un 
proceso de comunicacion de dos vias para la orientacion y para la retroalimentacion y proporciona a las partes interesadas 
una oportunidad para realizar comentarios sobre los cambios; la cultura individual demuestra la participacion de las partes 
interesadas cuestionando y proporcionando comentarios cuando se les solicita. 





Comportamiento 4: Todo el personal es responsable de que se proteja la informacion de la empresa. 

Esta responsabilidad se refleja en dos niveles dentro de la empresa. En el nivel organizativo, se hacen constar aquellas 
incidencias que impliquen responsabilidades (disciplina), y se confirman los roles de las partes interesadas relativos a su 
aplicacion. En el nivel individual se requiere a cada individuo que comprenda las responsabilidades asumidas relativas a la 
seguridad de la informacion. 














Comportamiento 5: Las Partes Interesadas estan informadas de cémo identificar y responder a las amenazas en el 
contexto de la empresa. 

Se pueden implementar los procesos adecuados para identificar y responder a las amenazas a nivel organizativo mediante 
la instauracion de un proceso de notificacion de incidencias y de un proceso para minimizar las pérdidas de informacion. 
A nivel individual, el personal debe estar formado sobre qué constituye un incidente de seguridad, como se debe notificar 
sobre él y como reaccionar. 
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Comportamiento 6: La Direcci6n respalda y anticipa las innovaciones en seguridad de la informacion de manera 
proactiva y lo comunica a toda la empresa. La empresa es receptiva para tener en cuenta y manejar nuevos retos 
en materia de seguridad de la informacion. 

Las mnovaciones y retos en seguridad de la informacion se abordan a nivel organizativo mediante un equipo de investigacion y 
desarrollo en seguridad de la informacion. La cultura individual contribuye con las partes interesadas para aportar nuevas ideas. 














Comportamiento 7: La Direcci6n de negocio se compromete a colaborar transversalmente de manera continuada 
ara conseguir programas de seguridad de la informacion efectivos y eficientes. 





La colaboracion multifuncional se alcanza mediante la aceptacion por parte de la organizacion de una estrategia de seguridad 
de la informacion con un enfoque holistico y a través de una integracion mejorada con el negocio. Los individuos contribuyen 
a través del acercamiento a otras funciones de negocio y mediante la identificacion de posibles sinergias. 











Comportamiento 8: La alta direccién reconoce el valor para el negocio de la seguridad de la informaci6n. 

EI valor para el negocio de la seguridad de la informacion se reconoce a nivel organizativo en cuanto la seguridad de la 
informacion se ve como un medio para mejorar el valor del negocio (beneficio, coste, reputacién y ventaja competitiva), la 
transparencia en la respuesta a las incidencias es clave y se considera esencial comprender las expectativas de los clientes. 
A nivel individual, este comportamiento se pone de manifiesto con la generacion de ideas creativas que generan valor (a 
varios niveles dentro de la seguridad de la informacion). 





D.2 Liderazgo 


Los comportamientos que se acaban de describir pueden ser influidos por el liderazgo a diferentes niveles de la empresa, 
como se esbozo en la seccion II, subseccién 5.3. Se pueden distinguir tres niveles de liderazgo: la gerencia de seguridad 
de la informacion (CISO/ISM) en el nivel de seguridad de la informacion, la gerencia del negocio en el nivel de la unidad 
de negocio y la alta direccién en el nivel mas alto. Estos niveles de liderazgo influyen en el comportamiento mediante la 
utilizacion de comunicaciones, disposiciones, normas, implantacion de incentivos y recompensas, asi como labores de 
concienciacion. 


Influenciando en el Comportamiento Mediante Comunicaciones, Disposiciones, Reglas y Normas. 
El liderazgo utiliza comunicaciones, disposiciones, reglas y normas con objeto de influir en los comportamientos dentro de 
la empresa. La comunicacion es siempre esencial para influir en cualquier tipo de comportamiento. La aplicacion de una 
cultura de seguridad de la informacion es dependiente del grado de importancia de este aspecto dentro de la cultura. Las 
normas pueden utilizarse para forzar acciones internas cuando la seguridad de la informacion es obligatoria desde el punto 
de vista legal. 


La gerencia de seguridad de la informaci6n (CISO/ISM) se ocupa de que la seguridad de la informacion esté 
incorporada en las politicas y procedimientos y de que se realicen acciones de orientacion y de puesta al dia. Ademas, el 
CISO/ISM realiza una recertificacién anual de las politicas y principios. Junto a la alta direccién, el CISO/ISM realiza un 
acuerdo formal de estas politicas. Los gerentes de las unidades de negocio dan seguimiento a las acciones correctivas y la 
alta direccion realiza una revision anual del rendimiento de la seguridad de la informacion. 


El CISO/ISM trabaja junto a los gerentes de las unidades de negocio para asegurar la aprobacion de las partes 
interesadas. Los gerentes de las unidades de negocio constituyen un ejemplo para el resto a través de su liderazgo. El 
CISO/ISM implementa un proceso de notificacion de incidencias, apoyado por un mecanismo de generacion de informes 
que incluye disparadores para alertar a las partes interesadas (clientes, proveedores, etc.). El CISO/ISM se encarga también 
de seguir las tendencias del mercado, tanto en cuestiones de seguridad de la informacion como de negocio. 


Mientras que la alta direcci6n se asegura de que la seguridad de la informacion esté correctamente representada en las 
estructuras correctas (comités, grupos de trabajo, equipos de implementacion), el CISO/ISM comunica los procesos de 
seguridad de la informacion a toda la empresa. 


Influyendo en el Comportamiento Mediante Incentivos y Recompensas 

La Direccion influye en el comportamiento empleando medidas disenadas para proporcionar un refuerzo positivo para 

las conductas deseables y un refuerzo negativo para las conductas desaconsejables. La ausencia de recompensas inhibe la 
adopcion de una cultura de seguridad de la informacion. La gerencia del negocio necesita saber que los comportamientos 
seguros seran recompensados; este aspecto implica que la alta direccién debe dejar claras sus intenciones favoreciendo 

la implantacion de salvaguardas de seguridad y promoviendo actitudes ejemplares de cultura de seguridad. Estas 
recompensas no implican pagos monetarios directos a los individuos; en su lugar, pueden constituir mejoras organizativas 
en forma de presupuestos, influencias, atencion de la direccion, etc. Aunque algunas personas solo estan motivadas por la 
remuneracion, otras aprecian otros tipos de reconocimiento. 
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Los siguientes incentivos y recompensas pueden ser utilizados por los distintos niveles de la gerencia para influir en el 
comportamiento: 


La gerencia de seguridad de la informacién (CISO/ISM) puede organizar sesiones sobre la seguridad de la informacion 
en la vida privada (por ejemplo cubriendo la utilizacion de las redes sociales por los nifios 0 la configuracion de redes 
inalambricas), con objeto de incorporar la seguridad de la informacion en la vida diaria, dar un reconocimiento positivo a 
los logros en materia de seguridad de la informacion, y distribuir complementos salariales por la innovacidn en seguridad 
de la informacion. El CISO/ISM no es el unico nivel de gerencia que otorga estos complementos; la alta direccion puede 
también conceder recompensas por notificacion de amenazas o por cualquier otra idea aprovechable. 


La gerencia del negocio se focaliza en la seguridad de la informacidn como un componente de la evaluacion del 
rendimiento y asegura que figure en todas las descripciones de los puestos de trabajo, mientras que la alta direccién 
disefia incentivos y recompensas en funcidn de la responsabilidad de las partes interesadas. La gerencia del negocio es 
responsable de realizar una revision anual del programa de incentivos y recompensas y apoya la idea de que las politicas 
de seguridad son un requisito para la ocupacion de un puesto de trabajo (clausulas de los contratos laborales). 


Influyendo en el Comportamiento Mediante la Mejora de la Concienciacion 

Los programas de concienciacion tienen su funcion, pero no son suficientes por si solos. El personal no necesita solamente 
ser concienciado de la importancia de la seguridad de la informacion sino que necesita ser formado en seguridad y en su 
rol personal dentro de ella. Los distintos niveles de gerencia dentro de una empresa pueden mejorar la concienciacion a 
través de los medios siguientes. 


La gerencia de seguridad de la informaci6n puede organizar acciones de formacidn en concienciacion sobre materias de 
seguridad de la informacion, complementadas con sesiones periddicas de actualizacion, y asegurar que las politicas estan 
siempre accesibles (por ejemplo a través de su publicacion en Internet). El CISO/ISM es también responsable de compartir 
conocimientos en materia de amenazas, a través de una comunicacion periddica de nuevas ideas y resultados, realizando 
un seguimiento de las tendencias del mercado y realizando andalisis competitivos. La gerencia del negocio sigue 
habitualmente estas sesiones formativas y es responsable de la realizacion de notificaciones o peticiones de comentarios 
sobre los cambios propuestos. La alta direccién se encarga de que los incidentes de seguridad se notifiquen al personal. 
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Catalizadores de COBIT 5 
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Este apéndice proporciona detalles sobre el uso y optimizacion de los tipos de informacién relacionados 
con la seguridad de la informacion, basandose en la introduccion del catalizador informacion de la 
seccion II. Se proporciona un enfoque para mapear las partes interesadas involucradas en el uso de los 






































diferentes tipos de informacion. Ademas, se listan todos los tipos de informacion, entre los que se encuentran: 
¢ Estrategia de seguridad de la informacion 
* Presupuesto de seguridad de la informacion 
¢ Planificacion de seguridad de la informacion 
* Politicas 
* Requerimientos de seguridad de la informacion, que podrian incluir: 
— Requisitos de configuracion de la seguridad 
—Requisitos de seguridad de la informacion en los acuerdos a nivel de servicio (SLA) y en los acuerdos a nivel operacional (OLA) 
¢ Material para la concienciacion 
¢ Informes de revision de seguridad de la informacion, que podrian incluir: 
— Hallazgos de auditorias de seguridad de la informacion 
— Informes de madurez de seguridad de la informacion 
— Gestion de riesgos relacionada con la seguridad de la informacion: 
- Analisis de amenazas 
- Informes de evaluacion de vulnerabilidades 
* Catalogo de servicios de seguridad de la informacion 
¢ Informacion sobre el perfil de riesgo, que incluye: 
— El registro de riesgos 
— Informes de violaciones y pérdidas (informe consolidado de incidentes) 
¢ Cuadro de mando de seguridad de la informacion (0 equivalentes), que incluye: 
— Incidentes de seguridad de la informacion 
— Problemas de seguridad de la informacion 
— Métricas de seguridad de la informacion 


Para cada uno de los tipos de informacion, se proporciona una guia mas detallada que incluye: 
* Metas—Describe los objetivos que se deben alcanzar utilizando las tres categorias definidas en el modelo de informacion. 
Para estos tipos de informacion, los objetivos de informacion estan divididos en tres dimensiones de calidad: 
— Calidad intrinseca—Indica el grado en que los valores de los datos cumplen con los valores reales 0 verdaderos 
— Calidad contextual—Indica el grado en que la informacion es aplicable a las tareas del usuario de la informacion 
y se presenta de una manera inteligible y clara de tal forma que se reconozca que la calidad de la informacion 
depende del contexto en que se use 
— Calidad de la seguridad/accesibilidad—Indica el grado en que la informacion esta disponible 0 se puede obtener 
* Ciclo de vida—Descripcion especifica de los requerimientos del ciclo de vida 
¢ Buenas practicas del tipo de informaci6én—Descripcion de contenidos y estructura tipicos 


E.1 Plantilla para las Partes Interesadas de la Seguridad de la Informacion 


En la figura 38 se muestra una plantilla para mapear las partes interesadas con los tipos de informacion relacionados con 

seguridad de la informacion. Esta plantilla contiene: 

¢ Descripcion del grupo de interés o parte interesada: - Basada en la lista genérica de estructuras organizativas de 
COBIT 5 (también utilizada en la matriz RACI de las descripciones de proceso) y complementada con otras partes 
interesadas adicionales y externas para este dominio especifico 

* Tipos de informacion: Seguin se describe en el apéndice B. Guia Detallada: Catalizador de la Informacion 


Es esencial identificar la parte interesada de la informacion para optimizar el desarrollo y la distribucion de la 
informacion a lo largo de toda la empresa. La plantilla de la figura 38 puede ayudar en el ejercicio de dicha 
identificacion. La tabla debe ser adaptada al entorno especifico traduciendo los ejemplos de tipos de informacion y las 
descripciones genéricas de las partes interesadas. 


Se puede utilizar un indicador de la naturaleza de relacion entre la parte interesada y cada tipo de informacion del tipo 
(ver el ejemplo de la figura 17): 

— A—Aprobador 

— O—Origen (emisor) 

—I—Destino para fines de informacion 

— U—Destino: usuario de la informacion 
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Figura 38—Plantilla de Informacion Relacionada con Partes Interesadas para la Seguridad de la Informacion 


Tipo de informacion 


Requerimientos de Seguridad 


de la Informacion 
Catalogo de Servicios de Seguridad 


Plan de Seguridad de la Informacion 
Informes de Revision de Seguridad 
de la Informacion 

de la Informacion 

Perfil de Riesgo de la Informacion 
Cuadro de Mando de Seguridad 


Presupuesto de Seguridad 
de la Informacion 


Estrategia de Seguridad 
de la Informacion 
Material de Concienciacion 


de la Informacion 


Parte Interesada 


Interno: Empresa 
Consejo de Administracion | 
Director General Ejecutivo (CEO) ma 
Director General Financiero (CFO) = 
Director General Operativo (COO) | 
Director General de Riesgos (CRO) Enea 
Comité de Direccién de la Seguridad de la Informacion (ISSC) | 
Director de Seguridad de la Informacién (CISO) fa) 
Ejecutivo de Negocio | 
Propietario del proceso de negocio a 
Comités de Supervision (Proyecto y Programa) | | 
Comité de Arquitectura ae 
—_ 
|__| 


Comité de Gestion de riesgo empresarial (ERM) 


Jefe de Recursos Humanos (HR) 


fcumpimiento CCE CE EE EE TT 
Ee | | | (GE 
| Oficina de Gestion de Programas y Proyectos(Pmo) | S| S| S| S| S| S| | | SC 
|Oficinade Gestiondelvaiorvmoy | CT | | CT CT | | CT CT 
[Comité destrategia(DireccionaeM) TT | CT CT CT CT CT CTT 
[Director informatica/Sistemas(cio) TT TCT | CT CT CT CTT 
jefedeArqutectura CECT | | | CT | UT TT 
jefedeDesaroto CT CT CT CF CT CT CT CT TT 
jefedeOperacionesdeT! = TE CT CE CT CT TT 
jefedeadministacionde! EE ET CE CT CT TTT 
|Gerentedeseviios CTE CE CE CE CE CE TTT 
[Gerentede Seguridad delainformacionsm) TT ST S| S| CT | CT | 
|GerentedeContinuidad de negocio | TCT CT CT CT CT CT ST 
JOfiialdervacidad = CE CE CE CE | ETT 
Externo 

jivesores, CE | 

jaseguradores, ETE 

jAutoridades aplicaciondelatey) TT TCT CT CT | CT CTT 
fReguiadores, CEE CE CE CT TTT 
[SociosdeNegocio CECT | | CT CT | | TT 
[VendedoresiProveedores CT CT S| | CT CT | | | TC 
jAuditoresEtermos CE CE CE CE CE CE CT CT TT 
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E.2 Estrategia de Seguridad de la Informacion 


Metas 

La estrategia de la seguridad de la informacion debe esforzarse por estar a la vanguardia y en linea con principios 
generalmente reconocidos. Ademas, la arquitectura y el disefio deben estar alineados con la arquitectura empresarial y la 
situacion especifica de la organizacion, ser exhaustiva y completa y contener toda la informacion que se requiera con un nivel 
de detalle apropiado para su procesamiento. La estrategia de la seguridad de la informacion debe estar disponible solo para 
aquellos que necesitan dicho acceso (p. ej. partes interesadas). 


Estas metas pueden medirse con métricas tales como: 

* Porcentaje de actividades de la seguridad de la informacion que siguen un marco reconocido 0 comparable a las 
organizaciones similares 

* Cantidad de divergencias entre la estrategia de la seguridad de la informacion y la arquitectura y la arquitectura de la empresa 

* Porcentaje de partes interesadas sin acceso a la estrategia de seguridad de la informacion 

* Cantidad de violaciones de seguridad de la informacion 


Ciclo de Vida 

Generalmente, una empresa define su estrategia y arquitectura a medio plazo para poder cumplir con la situacion futura 
deseada, aunque permitiendo la realizacion de actualizaciones a corto plazo (p. ej. anualmente). Ademas, la estrategia de la 
seguridad de la informacion debe estar disponible para todas las partes interesadas relevantes. 


Buena Practica 

El CISO/ISM es el responsable de desarrollar la estrategia de la seguridad de la informacion para la empresa. El propdsito 
de la estrategia de la seguridad de la informacion es proporcionar a la empresa una direccion adecuada respecto a temas 
relativos a la seguridad de la informacion y que incluya a toda la empresa; por ejemplo alta direccion, auditorias, gerencia 
del negocio, desarrollo de TI y operaciones de TI. 


El desarrollo de la estrategia de seguridad de la informacion se describe como sigue: 


La estrategia de negocio proporciona una hoja de ruta para cumplir con los objetivos del negocio. Ademas, 

debe proporcionar una de las aportaciones principales a la estrategia de seguridad de la informacion. Este 

flujo sirve para promover el alineamiento de la seguridad de la informacion con los objetivos del negocio. Se 
llega al equilibrio de las aportaciones determinando el estado deseado de la seguridad [de la informacion] en 
contraposicion al estado actual o existente. Los procesos de negocio deben también ser considerado, al igual que 
los riesgos principales de la organizacion, incluyendo los requerimientos regulatorios y el andlisis de impacto 
asociado para determinar los niveles de proteccion y las prioridades. 


El objetivo de la estrategia de la seguridad [de la informacion] es el estado deseado definido por el negocio 

y los atributos de seguridad [de la informacion]. La estrategia proporciona las bases para un plan de accion 
que abarque uno o mas programas de seguridad [de la informacion] que cuando se implementen alcancen los 
objetivos de la seguridad [de la informacion]. El plan o planes de accion deben de ser formulados basandose 
en los recursos disponibles y las limitaciones considerando a su vez los requerimientos regulatorios y legales 
relevantes. 


La estrategia y los planes de accion deben contener las condiciones para la supervision, asi como métricas 
definidas para determinar el nivel de éxito. El CISO y el Comité de Supervision se retroalimentaran de esta 
informacion de tal forma que puedan hacer correcciones durante la vida del proyecto y asegurar que las 
iniciativas de seguridad [de la informacion] estan en el buen camino para cumplir con los objetivos definidos.* 


En este proceso de desarrollo, un CISO/ISM deberia tener en cuenta las limitaciones que pueden influir en la estrategia de 
seguridad de la informacion: 

¢ Requerimientos legales y regulatorios 

¢ Cultura 

* Estructura organizativa 

* Costes 

* Recursos 

* Capacidades 

* Tiempo 

* Aceptacion y tolerancia del riesgo 


SISACA, Manual de Revisién CISM 2012, EE.UU., 2012, seccién 1.9. pagina 47 
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La estrategia de seguridad de la informacion deberia abordar, entre otros, los siguientes temas: 
¢ Alineacion de las actividades de seguridad de la informacion con los objetivos generales de la empresa 
* Gestion del riesgo de la informacion—Una descripcion de los sistemas de la gestion del riesgo de la informacion que se 
implementara en toda la empresa. Este sistema requiere: 
— Una vision empresarial de los objetivos estratégicos y del riesgo 
— Definicion de la cantidad de riesgo que la empresa puede asumir a nivel corporativo 
— Una politica corporativa sobre las opciones y la seleccion de la respuesta a los riesgos 
— Supervision del riesgo 
* Un enfoque y principios generales hacia el gobierno y la gestion que describan: 
— Principios y politicas 
— Estructuras organizativas 
— Procesos y practicas 
— Habilidades, elementos culturales y conductas 


Lo anteriormente expuesto es necesario para establecer la direccion y supervisar la seguridad de la informacion de 

tal forma que esté alineada con los objetivos de la empresa y el apetito por el riesgo. El gobierno define, entre otros 

elementos, la responsabilidad de que algo se haga, la responsabilidad de hacer algo y la toma de decisiones. 

¢ Arquitectura de seguridad de la informacion - Una descripcion de los principales conjuntos logicos de capacidades 
principales que gestionan la seguridad de la informacion. Estas capacidades incluyen informacion, aplicaciones, 
tecnologia y la forma en que todas éstas se relacionan con los procesos de negocio. 

* Cumplimiento - Describe todas las reglas y regulaciones que aplican a toda la empresa y el sistema de politicas, 
procedimientos y todas las demas medidas que la empresa necesita para cumplir con estas regulaciones y para 
supervisar su cumplimiento de forma continua. 

* Operaciones de seguridad de la informacion - Son los procesos y procedimientos operativos relacionados con la 
seguridad de la informacion que incluyen la administracion y supervision de la seguridad de la informacion, asi como 
la respuesta a los incidentes. 

* Hoja de ruta de seguridad de la informacion - Estado de seguridad deseado incluyendo personas, procesos, tecnologia 
y otros recursos. 


E.3 Presupuesto de Seguridad de la Informacion 


Metas 

El presupuesto de la seguridad de la informacion debe ser adecuado (asegurar recursos apropiados), preciso y debe 
contener cantidades correctas y reales para todos los apartados del presupuesto. Ademas, el presupuesto debe ser 
exhaustivo, completo y estar en linea con los requerimientos de seguridad de la organizacion de la empresa y el apetito 
general por el riesgo. El presupuesto de la seguridad de la informacion debe estar disponible a tiempo y ser accesible solo 
para aquellos que lo necesitan (p.ej. partes interesadas). 


Algunos ejemplos de las métricas para el area de presupuestos incluyen: 

* Cantidad de peticiones de presupuesto adicional realizadas tras el presupuesto anual de tal forma que se pueda revisar 
la evolucion del presupuesto 

* Cantidad de discrepancias entre el presupuesto de la seguridad de la informacion y las necesidades en general (p.ej. 
presupuesto vs estado actual) 

¢ Diferencia entre presupuesto y costes reales 

* Porcentaje de partes interesadas sin acceso a | presupuesto de seguridad de la informacion 


Ciclo de Vida 
Por lo general las empresas tienen un ciclo presupuestario anual. Los presupuestos de los costes e inversiones relacionados 
con la seguridad de la informacion deben seguir este ciclo. 


Buena Practica 

Presupuestar en seguridad de la informacion depende de quién rinde cuentas y de quién es responsable de implementar 

la seguridad de la informacion dentro de la empresa. En esta publicacion, se asume que la funcion de la seguridad de la 
informacion tiene su propio presupuesto (que es el método mas efectivo para asegurar que se proporcionan los recursos 
de seguridad mas apropiados). En tal caso, el CISO/ISM tiene la responsabilidad de desarrollar un presupuesto para la 
funcion de seguridad de la informacion, como parte del presupuesto de la entidad organizativa a la cual reporta la funcién 
de seguridad de la informacion, utilizando el proceso de presupuesto de la organizacion. Adicionalmente, debe haber una 
revision a nivel de toda la empresa de inversiones y gastos relativos a la seguridad de la informacion. 


E] proposito del presupuesto de la seguridad de la informacion es proporcionar financiacion al programa de seguridad de la 
informacion y posibilitar que el negocio reciba un apoyo apropiado de la seguridad de la informacion. El programa de seguridad 
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de la informacion debe contener todas las inversiones para poder ejecutar la estrategia y arquitectura de la seguridad de la 
informacion. En este contexto, es importante disponer de un proceso de asignacion de presupuesto adecuado. De acuerdo con 
el proceso APO06 Gestionar el presupuesto y costes de COBIT 5, el presupuesto de la seguridad de la informacion debe ser 
desarrollado sobre la base de un Analisis de Impacto en el Negocio (BIA) y los consiguientes requerimientos de negocio, los 
cuales son traducidos a requerimientos e iniciativas de seguridad de la informacion. La definicion exacta de los requerimientos 
de la seguridad de la informacion se discute en la subseccion E.6 Requerimientos de Seguridad de la Informacion. 


El presupuesto relacionado con la seguridad de la informacion puede incluir los siguientes puntos: 
¢ Presupuestos para las operaciones de la funcidn de la seguridad (costes de personal, infraestructura, tecnologia, proyectos) 
¢ Presupuesto para el programa de informacion de seguridad, que puede incluir: 
— Costes e inversiones puntuales para establecer la funcién de la seguridad de la informacion y procesos relacionados con 
la ejecucion de proyectos relativos a la seguridad de la informacion 
— Costes recurrentes en medidas operativas para la seguridad de la informacion (administracion de la seguridad de la 
informacion, monitorizacion, informes, cumplimiento) 
— Costes del programa de concienciacion 
— Mejora continua de las habilidades en seguridad de la informacion (formacion de expertos en seguridad, 
certificaciones, viajes, conferencias) 
— Certificaciones de la seguridad corporativa y costes de la auditoria externa de seguridad 
— Costes del outsourcing 
— Costes de preparacion para la respuesta a incidentes 


Los presupuestos de seguridad de la informacion también estan sujetos a un seguimiento regular (actual versus 
presupuestado, variaciones) de acuerdo con las politicas y procesos de la empresa. 


E.4 Plan de Seguridad de la Informacion 


Metas 

EI plan de la seguridad de la informacion debe ser preciso, exhaustivo y completo, y contener acciones realistas y correctas 
basadas en la estrategia de la seguridad de la informacion. Ademas, debe estar alineado con la arquitectura empresarial 

y con la situacion concreta de la empresa, y en linea con el apetito de riesgo global (p. ej., hay suficiente dinero en el 
presupuesto). El plan de seguridad debe estar disponible a tiempo y ser accesible sdlo para aquellos que lo necesiten (p. 

ej., partes interesadas). 


Estos objetivos pueden ser medidos por métricas incluyendo: 

« Numero de acciones que no pueden ser implementadas 0 ejecutadas. 

* Numero de discrepancias entre el plan de seguridad de la informacion y la arquitectura empresarial. 
* Porcentaje de partes interesadas sin acceso al plan. 

¢ Numero de violaciones en contra del plan. 


Ciclo de Vida 
El plan de la seguridad de la informacion es creado y después mantenido de manera regular segun lo requiera el ISSC, en 
sincronia con el ciclo presupuestario. 


Buena Practica 
El CISO/ISM tiene la responsabilidad de desarrollar un plan de seguridad de la informacion. 


El plan de seguridad de la informacion se basa en una estrategia de seguridad de la informacion, que incluye un analisis 
de riesgos/plan de gestion y responde a todos aquellos riesgos de la informacion que superen el apetito de riesgo de la 
empresa. También cubre todos los tipos de respuestas a los riesgos (evitar, mitigar, transferir, aceptar) particularmente la 
mitigacion y la transferencia del riesgo (seguros). 


El plan de seguridad de la informacion define todas las inversiones necesarias para llevar a cabo la estrategia de seguridad de 

la informacion y su arquitectura. El plan de seguridad de la informacion esta definido en términos de todos los facilitadores: 

¢ Procesos que necesitan ser definidos, implementados o reforzados 

¢ Estructuras organizativas que necesitan ser creadas o reforzadas 

¢ Flujos de informacion relacionados con la gestion de la seguridad de la informacion que necesitan ser implementados 

* Politicas y procedimientos que necesitan ser definidos y puestos en practica 

* Cultura de seguridad de la informacion que necesita ser ajustada o mantenida 

¢ Habilidades y comportamientos que necesitan ser desarrollados 0 cambiados 

* Capacidades que necesitan ser adquiridas, como por ejemplo, tecnologia para seguridad de la informacion, 
aplicaciones y servicios especificas de seguridad de la informacion 
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E.5 Politicas 


Las politicas son un tipo importante de informacion para el gobierno y la gestion de la seguridad de la informacion. En 
el marco de trabajo de COBIT 5, las politicas y los principio son también facilitadores del gobierno y la gestion. Por esta 
razon, puede ser util referirse al analisis mas detallado sobre las politicas en la seccion II del capitulo 2 de esta publicacion. 


E.6 Requerimientos de Seguridad de la Informacion 


Metas 

Los requerimientos de la seguridad de informacion deben ser completos, realistas y alineados con el negocio y con los 
requisitos legales. Ademas, los requisitos deben estar disponibles a tiempo y ser accesibles solamente para las partes 
interesadas (es decir, para aquellos que necesiten acceder). 


Ejemplos de métricas para esta area son: 

¢ Numero de proyectos con requerimientos de seguridad revisados por la funcion de seguridad de la informacion 

« Numero de requerimientos que no se cumplen 

* Numero de requerimientos entregados en los proyectos organizativos 0 que estan ausentes en proyectos ya desplegados 

¢ Numero de aceptaciones firmadas por los usuarios finales, manifestando recepcidn y reconocimiento de los requisitos 
de seguridad mas recientes 


Ciclo de Vida 

Los requerimientos de la seguridad de la informacion se definen en varios puntos de activacion: 

¢ Al comienzo de nuevos proyectos de negocio, como parte del conjunto de los requerimientos de negocio y 
funcionales—La seguridad de la informacion es un requerimiento de negocio; los requerimientos de la seguridad de la 
informacion son seguidos a lo largo de todo el ciclo de vida de la iniciativa. 

¢ Durante la negociacion del contrato/acuerdos con terceras partes. 

¢ Cuando se estan investigando adquisiciones/fusiones de companias (establecer requerimientos para la gestion de las 
amenazas de las marcas). 


Buena Practica 

Los requerimientos de la seguridad de informacion forman parte del conjunto de los requerimientos de cualquier tipo 
de catalizador. Esto aplica normalmente a las nuevas capacidades (aplicaciones, infraestructura), aunque tambien a los 
restantes catalizadores. Los requerimientos de la seguridad de la informacion son responsabilidad del usuario final y/o 
usuario principal, por ejemplo, el propietario del proceso de negocio (para las aplicaciones) o la direccién de TI (para la 
infraestructura de TI). 


Los requerimientos de la seguridad de la informacion se definen en funcion del impacto sobre el negocio, objetivos y 
criterios en términos de: 
¢ Disponibilidad—Cuando ha de estar disponible el catalizador, para quién, en qué medida, etc. 
¢ Integridad—Requerimientos de integridad que precisa el catalizador. Aplica a las especificaciones de la informacion 
(controles de las aplicaciones sobre transacciones/informacion), politicas (integridad de las politicas), etc. 
¢ Confidencialidad—Quién puede y quién no tener acceso al catalizador. Ejemplos de preguntas frecuentes: 
— En funcion de las necesidades del puesto de trabajo, {quién tiene acceso a la informacion? 
— {Quién tiene acceso a las estructuras organizativas (decisiones) y quién no? 


E.7 Material de Concienciacion 


Metas 

Los materiales de concienciacién deben ser completos y contener declaraciones realistas y correctas sobre el riesgo y las 
practicas. Ademas, estos materiales deberian ser comprensible y estar adaptados a la mayoria de los puestos de trabajo 
(considerando el coste). Los empleados necesitan una formacion general y orientada al rol desempefiado y sus incentivos 
deberian estar asociados a la concienciacion sobre la seguridad de la informacion. La formacion sobre concienciacion en 
seguridad de la informacion deberia de proporcionarse a todos los empleados y grupos objetivos mas importantes y estar 
accesible solo para aquellos que necesiten acceder (es decir, las partes interesadas). 


Las métricas para estas metas pueden incluir: 

« Numero de actualizaciones en el material de concienciacion 

* Porcentaje de empleados que han superado determinadas valoraciones en las pruebas 

* Porcentaje de empleados que tienen un plan de rendimiento que incluye objetivos de seguridad de la informacion 
* Numero de publicaciones aportadas por participantes en respuesta a concursos sobre material de sensibilizacion 
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Estas métricas pueden utilizarse para fines administrativos; sin embargo, cabe destacar que la concienciacion se puede 
medir a través del comportamiento y de los efectos de dicho comportamiento, en términos de, por ejemplo, incidencias e 
incumplimientos. 


Ciclo de vida 
El material sobre concienciacion debe actualizarse periddicamente y/o cuando acontezca un evento determinado 
(orientado a eventos). 


Buena Practica 

El material de concienciacién puede ayudar a cambiar la forma de pensar y el comportamiento de las personas, lo 
que mejora globalmente la seguridad de la informacion. La concienciacién fomenta un comportamiento adecuado y 
el cumplimiento de las politicas, y minimiza los incumplimientos relativos a la seguridad de la informacion asi como 
comportamientos arriesgados inconscientes. 


El material de concienciacion deber tomar en consideracion todo lo siguiente: 
* El disefio y la implementacion de un programa efectivo de concienciacion en seguridad de la informacion es apoyado 
por el compromiso de la direccion ejecutiva. 
¢ El conjunto obligatorio de informacion esta formado por: 
— Las motivaciones de seguridad de la informacion del negocio 
— La politica de la seguridad de la informacion 
— La politica de uso aceptable 
— Los efectos de los incumplimientos, asi como un comportamiento peligroso, tanto para la empresa como para el 
individuo. 
¢ El programa deberia aspirar a alcanzar la cultura deseada sobre la seguridad de la informacién que estara basada en 
los objetivos empresariales. En compafias que operan internacionalmente, el programa también deberia contemplar 
los aspectos de la cultura local y aceptar ajustes seguin sea preciso. Sin embargo, se deberia establecer una linea base 
que establezca un nivel minimo aceptable basada en los valores y los principios comunes de la empresa. 
¢ Las personas representan el grupo objetivo principal. Pueden ser tanto trabajadores internos como trabajadores 
externos de soporte para la empresa. El material de concienciacion se desarrollara para determinados grupos 
funcionales y grupos segun la jerarquia. 
¢ La empresa deberia definir e implementar procesos repetitivos de concienciacion que serviran para que las partes 
interesadas cumplan en el dia a dia con los requerimientos del negocio. Se deberia definir el fondo y la forma de 
dichos procesos. 
¢ La direccion es responsable de prestar soporte al programa de concienciacion garantizando la participacion de los 
empleados. RRHH es responsable de los procesos de incorporacion y de suministrar el material de concienciacion. 
Los expertos en seguridad de la informacion son los responsables de proporcionar el contenido en el que se basa el 
material de concienciacion. El CISO/ISM es responsable de que el programa se esté Ilevando a cabo. 
¢ La tecnologia proporciona el medio a través del cual se distribuye el material de concienciacion. Por ejemplo, medios 
de distribucion que pueden incluir los canales de comunicacion, contenidos activos y formacion en linea, encuestas 
y evaluaciones. El material debe ser ampliamente accesible a través de diversos canales, por ejemplo intranet, 
documentos y video. 
¢ El material de concienciacion se prepara con el apoyo de los expertos de seguridad, RRHH y la direccion de 
negocio de la empresa. Se puede utilizar en los procesos de incorporacion y salida como también en el programa de 
concienciacion. Determinada formacion podria ser especifica para grupos objetivo. 
¢ Es utilizado como una entrada para el perfil de riesgo, para el disefio de la seguridad de la informacion y en el 
programa de gestion de la seguridad de la informacion. 
¢ El programa de concienciacion debe supervisarse y comunicarse a través de: 
— Realizacion de pruebas que evidencien su comprension, con fechas en las que se completa y se supera, e informes 
de las excepciones (no finalizacion de las pruebas). 
— La supervision del comportamiento que podria provocar cambios en el material de concienciacion: cambios en las 
amenazas, el negocio, las politicas, los procedimientos y en los incidentes que podrian provocar cambios en el 
material de concienciacion. 


Las métricas anteriormente descritas proporcionaran una indicacion de la calidad de los productos incluidos en el 
programa de concienciacion desplegado en la empresa. Sin embargo, la eficiencia de las iniciativas de concienciacion 
debe medirse de una forma distinta. Como se ha indicado anteriormente, la medicion de la concienciacion en la 
organizacion requiere de la medida del comportamiento de la compafiia, no solamente el cumplimiento con los 
objetivos administrativos. 
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E.8 Informes de Revision de la Seguridad de la Informacion 


Los informes de revision de la seguridad de informacion pueden ser de muchos tipos, entre los que se incluyen los siguientes: 
* Hallazgos de las auditorias de seguridad de la informacion 
¢ Informe de madurez de la seguridad de informacion 
* Gestion de riesgos relativos a la seguridad de la informacion 
— Analisis de amenazas 
— Informe de evaluaciones de vulnerabilidades (seguridad de la informacion) 
— Analisis de impacto en el negocio (BIA) 


En esta seccion, el analisis de amenazas se describe en detalle a modo de ejemplo. 


Metas 

Los informes de revision de la seguridad de la informacion deberian ser completos y precisos, con el gasto dirigido a las 
areas en las que se han identificado riesgos y con foco en la reduccion de los gastos requeridos para recuperarse de las 
incidencias o vulnerabilidades (incluyendo la minimizacion de las pérdidas de ingresos). Ademas, el analisis de amenazas 
debe identificar todas las amenazas importantes y relevantes para el negocio y debe desarrollar oportunas acciones y 
respuestas a los riesgos. Los cuadros de mando para las partes interesadas clave deberian actualizarse puntualmente y 
solamente seran accesibles a quiénes tengan una necesidad de acceso (es decir, las partes interesadas). 


Estas metas se pueden medir a través de métricas tales como: 

¢ Numero de andalisis de amenazas realizados al afio 

* Numero de amenazas identificadas 

* Porcentaje de amenazas tratadas en las practicas de la seguridad de la informacién 
* Porcentaje de actualizaciones ejecutadas segun su planificacion 

* Porcentaje de partes interesadas sin acceso 

* Numero de violaciones de seguridad de la informacion 


Ciclo de Vida 

El analisis de las amenazas se deberia actualizar periddicamente y cuando acontezca un evento determinado (orientado 
a eventos). Los nuevos proyectos o un cambio en las iniciativas de negocio representan ejemplos de eventos que pueden 
requerir la actualizacion del andalisis de amenazas. 


Buena Practica 
Para estar al corriente de las amenazas, el CISO y los gestores de TI y de negocio deberan leer habitualmente articulos de 
noticias, trabajos de investigacion, y tener comunicaciones con los proveedores. 


Las pérdidas de datos internas y externas proporcionan informacion que nos permitan crear los escenarios que se puedan 
utilizar para el analisis de amenazas. 


El analisis de amenazas se tendria que focalizar en las siguientes areas: 

* Debe realizarse un analisis de amenazas a alto nivel para identificar los riesgos de informacion estratégicos. Por 
ejemplo, si un banco no cumple con los requerimientos de seguridad de la informacion dirigidos por la autoridad 
supervisora local, puede perder su licencia para poder operar. 

¢ Las personas necesitan las habilidades funcionales y el conocimiento apropiados para realizar un analisis de 
amenazas. Las personas son también una de las fuentes de las violaciones y por tanto contribuyen a la materializacion 
de las amenazas. El factor humano se tendria que considerar siempre que se realiza un analisis de amenazas. 

¢ La funcion ERM debe definir e implementar el analisis de amenazas como parte del proceso de gestion de riesgos que 
facilitara a las partes interesadas del negocio la identificacion, evaluacion, mitigacion y prevencién de amenazas (de 
seguridad de informacion y otras) de una forma preventiva. 

¢ En cierta medida, la tecnologia puede ayudar a elaborar el analisis de amenazas mediante la recoleccion de 
informacion. Por ejemplo, la tecnologia puede ayudar con el andlisis y la correlacion de los registros de eventos 
y mediante el uso de sistemas de gestion de eventos y de informacion de seguridad (SIEM), utilizando la mineria 
de datos o la inteligencia de negocio para el reconocimiento de patrones, utilizando herramientas de pérdida de 
informacion para identificar la fuga de datos y deteccion del fraude. 

¢ El analisis de amenazas de alto nivel deberian efectuarlo los directores de negocio, por los directores de TI, y por el CISO/ CSO. 

¢ El analisis detallado de las amenazas lo deberia realizar expertos de sus areas respectivas. 

¢ El analisis de las amenazas en un documento confidencial que tiene que ser restringido a los directores principales de 
negocio, de TI y de seguridad de la informacion. Deberia conservarlo y actualizarlo el CSO/CISO. 

¢ Sirve como entrada para el perfil de riesgo, el disefio de la seguridad de informacion y el programa de gestion de la 
seguridad de la informacion. 
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E.9 Cuadro de Mando de la Seguridad de la Informacion 


Metas 

Los cuadros de mando de la seguridad de informacion deben contener todos los eventos e informacion adicional conforme 
dicten los requerimientos de la seguridad de la informacion, y la informacion requerida debe tener un nivel de detalle 
apropiado para generar acciones. Los cuadros de mando deberian actualizarse puntualmente y solamente ser accesibles 
para aquellos que necesiten acceder (es decir, las partes interesadas). 


Ejemplos de métricas para estas métricas incluyen: 

¢ Numero de problemas completos y precisos en el cuadro de mando 

¢ Numero de discrepancias entre el cuadro de mando y los requerimientos de seguridad de la informacion 
¢ Tiempo necesario para analizar el cuadro de mando y obtener la informacion necesaria 

* Porcentaje de actualizaciones ejecutadas segun su planificacion 

¢ Porcentaje de partes interesadas sin acceso a los cuadros de mando de la seguridad de la informacion 

* Numero de violaciones de seguridad de la informacion del cuadro de mando seguridad de la informacion 


Ciclo de Vida 

Los componentes del cuadro de mando deben ser renovados periddicamente. La frecuencia de las actualizaciones 
dependera de los tipos de datos y la criticidad. Por ejemplo, la informacion sobre las incidencias de seguridad puede 
conllevar como requerimiento actualizaciones en linea inmediatas, mientras que otros componentes, tales como el estado 
del plan de accion de la seguridad de la informacion, podrian actualizarse mensualmente. 


Los informes deben ser almacenados de forma centralizada y ponerlos a disposicion de las partes interesadas en un 
formato de cuadro de mando. Se pueden realizar extractos o resumenes, en funcion de las necesidades o del nivel de 
interés de una parte interesada concreta. 


Buena Practica 
El desarrollo y la operacion del cuadro de mando tendra en cuenta lo siguiente: 
¢ El cuadro de mando debera contener informacion operativa, asi como informacion sobre las amenazas de seguridad de 
la informacion, niveles de amenazas y vulnerabilidades. 
¢ Las personas son el mayor activo de una empresa y parte integral de una implementacion satisfactoria de una 
arquitectura SIEM; no obstante, requieren de las apropiadas habilidades funcionales y de los conocimientos 
adecuados. 
¢ La empresa deberia definir e implementara procesos SIEM repetibles que ayudaran a las partes interesadas del 
negocio a cumplir en su dia a dia con los requerimientos del negocio. 
¢ La siguiente informacion debe formar parte del cuadro de mando y de los informes: 
— La eficiencia y efectividad de las actividades de seguridad de la informacion 
— Areas donde es necesaria la mejora 
— Sistemas e informacion que tienen un nivel de riesgo inaceptable 
— Acciones necesarias para ayudar a minimizar el riesgo en la informacion (p. ej., revision del apetito al riesgo de 
la empresa, comprender el entorno de las amenazas de la seguridad de la informacion, y apoyar al negocio y a los 
propietarios de los sistemas a disminuir los riesgos inaceptables) 
— Detalles del progreso realizado desde los informes de supervision anteriores. 
— Informacion financiera relativa al coste de los controles de seguridad de la informacion y el impacto financiero de las 
incidencias de seguridad de la informacion. 
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APENDICE F 


Guid DETALLADA: CATALIZADOR DE SERVICIOS, 
INFRAESTRUCTURA Y APLICACIONES 


Este apéndice proporciona detalles relativos a los servicios, la infraestructura y las 
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aplicaciones en el contexto de la seguridad de la informacion, basandose en el catalizador de servicios, infraestructura 
y aplicaciones introducido en la seccion II. La siguiente lista contiene algunos ejemplos de servicios potenciales 
relacionados con la seguridad, tal y como podrian figurar en un catalogo de servicios: 

¢ Proporcionar una arquitectura de seguridad. 

¢ Proporcionar concienciacion sobre seguridad. 

¢ Proporcionar un desarrollo seguro (desarrollo alineado con los estandares de seguridad). 

¢ Proporcionar evaluaciones de seguridad. 

¢ Proporcionar sistemas adecuadamente asegurados y configurados, en linea con los requerimientos y la arquitectura de 


seguridad. 


¢ Proporcionar accesos a los usuarios y derechos de acceso de acuerdo con los requerimientos del negocio. 

¢ Proporcionar una adecuada proteccion frente a software malicioso, ataques externos e intentos de intrusion. 
¢ Proporcionar una adecuada respuesta a incidentes. 

¢ Proporcionar pruebas de seguridad. 

¢ Proporcionar servicios de monitorizacion y alerta par a eventos relacionados con la seguridad. 


Para cada una de estas capacidades de servicio, los bloques de servicios constituyentes se han descrito en este apéndice: 
* Descripcion detallada del servicio, incluyendo funcionalidad de negocio 

¢ Atributos—Las entradas y tecnologias de apoyo (incluyendo aplicaciones e infraestructura) 

¢ Objetivos—Los objetivos de calidad y cumplimiento para cada capacidad de servicio y las métricas relacionadas 


F.1 Arquitectura de Seguridad 


Descripcion de la Capacidad del Servicio 
La figura 39 describe la capacidad del servicio relativa a la planificacion de los servicios. 


Figura 39—Planificacion de los Servicios: Descripcién de la Capacidad del Servicio 


Incluir la seguridad de la 
informaci6n en la arquitectura. 


Mantener una arquitectura de 
seguridad. 


Establecer y mantener un 
inventario de activos. 


Disponer de gestion de 
la configuracion para la 
seguridad de la informacién. 


Establecer y mantener 
un descubrimiento de la 
infraestructura. 


Asegurar la inclusién de requerimientos de la seguridad de la informacion cuando se analizan discrepancias y se 
eligen soluciones para la empresa. 


Mantener un repositorio de arquitectura que contenga estandares de la seguridad de la informacién, componentes 
reutilizables, modelos de elementos, relaciones, dependencias y las vistas que permitan la uniformidad en la 
organizacion y el mantenimiento de la arquitectura. 


Proporcionar un inventario detallado de los activos, de la informacion y fisicos, con su adecuada clasificacion, 
propiedad, ubicacion, tipo de mantenimiento, valor y criticidad. 


La gestion de la configuracién proporciona datos que sirven para identificar y hacer progresar los incidentes de la 
seguridad de la informacion. Emplear el sistema de gestion de la configuracion (CMS) para evaluar el impacto de un 
incidente e identificar a los usuarios afectados por problemas potenciales. El CMS contiene, ademas, informacion 
relativa a las categorias de los incidentes. Aprovechar el CMS y el mantenimiento de configuraciones estandar, como 
enfoque proactivo para prevenir incidentes causados por configuraciones desconocidas y para reducir costes. 


Poner en marcha el descubrimiento de activos y entidades nuevas que se incorporan o despliegan en un entorno 
determinado. 
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Atributos 


La figura 40 describe los atributos de la planificaci6n de los servicios. 


Mantener una arquitectura de 
seguridad. 


Establecer y mantener un 
inventario de activos. 


Disponer de gestion de 
la configuracion para la 
seguridad de la informacién. 


Establecer y mantener 
un descubrimiento de la 
infraestructura. 


Metas 


Figura 40—Planificacion de los Servicios: Atributos 


Capacidad del Servicio Tecnologia en la que se Apoya 


Incluir la seguridad de la N/A 
informaci6n en la arquitectura. 


Base de datos de gestion de la configuracién (CMDB) 
Sistemas de gestién de activos 

Protocolo Simple de Gestién de Red (SNMP) 

e Agentes de provision de informacién 


¢ CMDB 

 Escaner de vulnerabilidades 

e Soluciones de analisis de la actividad en tiempo real en 
bases de datos 

 Soluciones de auditoria de politicas 


¢ CMDB 

© Herramientas de descubrimiento de la red 
Sistemas de gestion de activos 

¢ SNMP 

 Agentes de provision de informacién 


 _ 


e Identificacion de los activos en funcidn del tipo de los 
datos 

¢ Proteccidn de los activos de Tl deseados 

¢ Vision clara del alcance susceptible a ataques externos 

© Conocimiento claro de los puntos de entrada/salida de 
la red 

e Exactitud del inventario 

e Facilitar la gestion de la configuracién 

© Gestion del analisis coste/beneficio 


e Facilitar que los estandares de la configuracién sean 
aplicados y supervisados 

e Identificacién de excepciones a los estandares de la 
configuracion 

 Reduccidn de las vulnerabilidades 


e Identificacion de activos nuevos 

¢ Proteccidn de los activos de Tl deseados 

¢ Vision clara del alcance que es susceptible a ataques 
externos 

© Conocimiento claro de los puntos de entrada/salida de 
la red 

e Exactitud del inventario 

e Facilitar la gestion de la configuracién 

© Gestion del analisis coste/beneficio 





La figura 41 describe describe las metas de la planificacion de los servicios. 


Figura 41—Planificacién de los Servicios: Metas 


Capacidad del Servicio Objetivo de Calidad po Mitra 


Incluir la seguridad de la Los requerimientos de la seguridad de Numero de excepciones a los estandares de la arquitectura de 
informaci6n en la arquitectura. | la informacion estan incluidos en la seguridad. 

arquitectura de empresa y se plasman en 

una arquitectura formal de la seguridad de 

la informaci6n. 


La arquitectura de la seguridad de la 
informacion se alinea y evoluciona conforme 
alos cambios de la arquitectura empresarial. 


¢ Todos los activos se inventarian al 
completo, de forma precisa, y se 
mantienen actualizados. 

¢ Los activos y entidades nuevos se 
descubren a su debido tiempo y de forma 
precisa. 


Mantener una arquitectura de Fecha de la ultima revision y/o actualizacion de las practicas de la 


seguridad de la informacion aplicadas a la arquitectura empresarial. 


seguridad. 


¢ Numero de activos no inventariados 

¢ Numero de inexactitudes en el inventario 

¢ Numero de entradas del inventario desactualizados segun la fecha. 
e Coste Total de la Propiedad (TCO) 

© Numero de copias de software ilegal en uso 

¢ Reduccidn de coste/coste no incurrido 

© Numero de activos/entidades sin identificar 

¢ Tiempo de demora en descubrir un nuevo activo/entidad 


Establecer y mantener un 
inventario de activos. 
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Figura 41—Planificacion de los Servicios: Objetivos (cont.) 


Capacidad del Servicio Objetivo de Calidad po Mtriea 


Disponer de gestién de Se dispone de una configuraci6n precisa, ¢ Porcentaje de cambios revocados o revertidos (marcha atras) 
la configuracion para la completa y actualizada de todos los e Exactitud de los elementos de configuracin y de sus atributos asociados 
seguridad de la informacién. activos y entidades bajo la gestion de la ¢ Eficacia de las pruebas de recuperacion 
configuracion.  Porcentaje de cambios autorizados frente a los no autorizados 
© Numero de errores en la configuracion 
¢ Exactitud de las configuraciones gestionadas respecto de aquéllas que 
se precisan 
¢ Numero de configuraciones estandar soportadas y frecuencia de los 
cambios en las configuraciones respecto de los estandares 
Numero de variaciones identificadas en los elementos de configuracién 
© Tiempo invertido en cambiar los elementos de configuracién 
e Precision de los cambios en ventanas de cambio concretas y sobre tipos 
especificos de elementos de configuracion. 
© Numero de cambios no planificados sobre elementos de configuracién 
en un periodo de tiempo determinado 
¢ Numero de cambios revocados 0 revertidos sobre elementos de 
configuracion. 
© Numero total de elementos de configuracién gestionados 
© Completitud, en relacion con el detalle y profundidad, de los atributos de 
los elementos de configuracién 


Establecer y mantener Los activos y entidades nuevos pueden ¢ Numero de activos/entidades no identificados 
un descubrimiento de la descubrirse en tiempo y forma. e Tiempo de demora en descubrir un nuevo activo/entidad 
infraestructura 





F.2 Concienciacion en Seguridad 


Descripcion de la Capacidad del Servicio 
La figura 42 describe la capacidad del servicio para los servicios de concienciacion en seguridad. 


Figura 42—Servicios de Concienciacién en Seguridad: Descripcién de la Capacidad del Servicio 


Proporcionar comunicaciones | Proporcionar el contenido, el andlisis y la entrega de formacion, educacion, noticias y eventos en seguridad de la 
sobre seguridad de la informacion adecuandolos a determinadas entidades 0 grupos en la empresa. 

informacion posibilitando la 

concienciacidn y la formacién). 





Atributos 
La figura 43 describe los atributos para los servicios de concienciacion en seguridad. 


Figura 43—Servicios de Concienciacién en Seguridad: Atributos 


Capacidad del Servicio Tecnologia en la que se Apoya 


Proporcionar comunicaciones | ¢ Cursos de formacidn (internos y externos) e Incremento de la concienciacién en seguridad de la 
sobre seguridad de la e Canales de noticias informacién a lo largo de toda la empresa 
informacién posibilitando la e Bases de conocimiento (KBs) ¢ Reduccidn del riesgo mediante ataques de ingenieria 
concienciacion y la formaci6n). | ¢ Herramientas de formacién social (p.ej., phishing, robo de identidad) 

Medios sociales de comunicacién 

° Correo electrénico 

¢ Herramientas de colaboracion 

e Avisos de la industria y fabricantes 

e Avisos CERT 





Metas 
La figura 44 describe las metas para los servicios de concienciacion en seguridad. 


Figura 44—Servicios de Concienciacion en Seguridad: Metas 


Capacidad del Servicio Objetivo de Calidad [| Metric 


Proporcionar comunicaciones | Formacidn efectiva y comunicaciones precisas, a tiempo y | ¢ Calidad de las comunicaciones que respondan a las 


sobre seguridad de la efectivas sobre seguridad de la informacion necesidades de formacidn y concienciacion sobre 

informacién posibilitando la seguridad de la informacion en la empresa. 

concienciacion y la formacién). © Grado de completitud respecto a los objetivos definidos 
sobre concienciacién y comunicaciones. 
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F.3 Desarrollo Seguro 


Descripcion de la Capacidad del Servicio 
La figura 45 describe la capacidad del servicio para los servicios de desarrollo seguro. 


Figura 45—Servicios de Desarrollo Seguro: Descripcién de la Capacidad del Servicio 


Desarrollar procedimientos de | El disefio y la entrega de procedimientos de desarrollo, ejemplos y contenido que muestre programacidn y desarrollo 


desarrollo seguro. seguro (desarrollo de cddigo resistente ante ataques) para un conjunto de lenguajes y entornos 


Desarrollar librerias de EI disefio y la entrega de médulos de seguridad de la informacion para lenguajes — y entornos — especificos que 
infraestructura seguras. proporcionen funciones de seguridad de la informacion criticas 0 esenciales 





Atributos 
La figura 46 describe los atributos para los servicios de desarrollo seguro. 


Figura 46—Servicios de Desarrollo Seguro: Atributos 


Capacidad del Servicio Tecnologia en la que se Apoya 


Desarrollar procedimientos de | ¢ Compiladores y enlazadores e Reduccidn de la posibilidad de vulnerabilidades en el 
desarrollo seguro. Recursos sobre desarrollo seguro (libros, cursos, ejemplos) cédigo. 
Herramientas de andlisis binarias y estaticas Ayuda a alinearse con los estandares de cumplimiento. 
e Analizadores de cddigo 


Desarrollar librerias de e Lenguajes de desarrollo e Proteccion del capital intelectual 

infraestructura seguras. ¢ Recursos sobre desarrollo seguro (libros, cursos) ¢ Reduccion de la posibilidad de vulnerabilidades en el 
¢ Analizadores de cédigo codigo. 
¢ Herramientas de andlisis binarias y estaticas 
© Compiladores y enlazadores 





Metas 
La figura 47 describe las metas para los servicios de desarrollo seguro. 


Figura 47—Servicios de Desarrollo Seguro: Metas 


Capacidad del Servicio Objetivo de Calidad | Metric 


Desarrollar procedimientos de | Para cada activo o entidad, identificacién precisa de toda | Numero de nuevos tipos de riesgos descubiertos a través 
desarrollo seguro. la informacién sobre los riesgos, asi como de los efectos/ | de incidentes no contemplados en los informes. 
riesgos sobre el negocio. 


Desarrollo de librerias de Mejoras en la configuracion de la seguridad de Numero de desviaciones en la seguridad de la informacion 
infraestructura seguras. la informacién de los sistemas alineadas con los descubiertas tras efectuar una evaluacion de la seguridad 
requerimientos de la seguridad de la informaci6n sobre un sistema bastionado. 





F.4 Evaluaciones de Seguridad 


Descripcion de la Capacidad del Servicio 
La figura 48 describe la capacidad del servicio para los servicios de las evaluaciones de la seguridad. 


Figura 48—Servicios de Evaluacion de la Seguridad: Descripcion de la Capacidad del Servicio 


Efectuar evaluaciones de la Ejecucion de una evaluacién de la seguridad de la informacion para una determinada entidad, sistema, proceso, 
seguridad de la informacién. procedimiento, aplicacién o unidad organizativa para obtener las desviaciones en la seguridad de la informacién. 


Efectuar evaluaciones de Proceso por el que se proporciona una identificacién, evaluacion, estimacion y analisis de las amenazas y 

riesgo en la informacion. vulnerabilidades para una determinada entidad, sistema, proceso, procedimiento, aplicacién o unidad organizativa a 
fin de determinar los niveles de riesgo asociados (pérdidas potenciales), y hacer uso de dicho andlisis como base para 
identificar las contramedidas rentables mas apropiadas asi como para determinar el nivel de riesgo aceptable. 
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Atributos 
La figura 49 describe los atributos para los servicios de evaluacion de la seguridad. 


Figura 49—Servicios de Evaluacion de la Seguridad: Atributos 


Capacidad del Servicio Tecnologia en la que se Apoya 


Realizar evaluaciones de la e Escaner de vulnerabilidades e Identificacion de vulnerabilidades de seguridad de la 
seguridad de la informacién.  Fuzzers (herramientas de introduccién de datos informacion 
aleatorios de forma masiva), sniffers (herramienta para | ¢ Identificacidn de agujeros de seguridad que podrian 
escuchar el trafico de red) conducir a problemas de cumplimiento 
e Analizadores de protocolo 
e Analizadores de red activos y pasivos 
¢ Honeypots (sistemas trampa para intrusos) 
e Agentes de equipos finales 
 Escaneres de aplicacion 
¢ Gestion del cumplimiento 
¢ Herramientas de informes 
¢ Acceso remoto (si se necesitara), redes, canales 
secundarios, redes privadas virtuales (VPNs) 


Realizar evaluaciones de los Igual que el anterior: ¢ Provisién de calificacién de riesgos para las practicas de 
riesgos de la informacion.  Escaner de vulnerabilidades seguridad de la informacion 
 Fuzzers (herramientas de introduccién de datos Ayuda en la priorizacion de vulnerabilidades en funcion 
aleatorios de forma masiva), sniffers (herramienta para del riesgo 
escuchar el trafico de red) e Vision de la forma de mitigar riesgos segun las 
e Analizadores de protocolo necesidades del negocio 
e Analizadores de logs 
 Analizadores de red activos y pasivos 
© Honeypots (sistemas trampa para intrusos) 
e Agentes de equipos finales 
 Escaneres de aplicacion 
¢ Gestion del cumplimiento 
© Herramientas de informes 
¢ Acceso remoto (si se necesitara), redes, canales 
secundarios, redes privadas virtuales (VPNs) 





Metas 
La figura 50 describe las metas para los servicios de evaluacion de la seguridad. 


Figura 50—Servicios de Evaluacion de la Seguridad: Metas 


Capacidad del Servicio Objetivo de Calidad | Metric 


Realizar evaluaciones de la Identificacion precisa de todas las debilidades, deficiencias, } Numero de elementos descubiertos a través de incidentes 
seguridad de la informacion. riesgos, vulnerabilidades y amenazas a un activo o entidad | no cubiertos en informes 
determinada relativas a seguridad de la informacién 


Realizar evaluaciones de los Identificacion precisa de todos los riesgos de la Nuevas areas de riesgo descubiertas a través de 
riesgos de la informacion. informacion y riesgos de negocio/efectos resultantes para | incidentes no cubiertos en los informes 
un activo o entidad determinada 





F.5 Sistemas Adecuadamente Asegurados y Configurados, en Linea con los 
Requerimientos y la Arquitectura de Seguridad 


Descripcion de la Capacidad de Servicio 
La figura 51 describe la capacidad de servicio para los servicios de sistemas adecuadamente asegurados. 


Figura 51—Servicios de Sistemas Adecuadamente Asegurados: Descripcion de la Capacidad del Servicio 


Proporcionar sistemas Proporcionar una configuracién, opciones y bastiando de sistemas en seguridad de la informacion para asegurarse de 
adecuadamente asegurados y | que la situacion de seguridad de la informacion de un sistema esta basada en un conjunto de requisitos o disefios de 
configurados, en linea con los | arquitectura. 

requisitos de seguridad de la 


informacion y la arquitectura 
de seguridad. 


Proporcionar seguridad de la Proporcionar medidas y actividades para la seguridad de la informacion especificas de dispositivo. 
informacion en los dispositivos. 


Proporcionar proteccién Proporcionar medidas adecuadas y especificas para la seguridad de la informacion de datos e informacion existente en 
al soporte fisico de la formas no digitales, incluyendo documentos, soportes, instalaciones, perimetro fisico y en transito. 
informacién. 
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Atributos 
La figura 52 describe los atributos para los servicios de sistemas adecuadamente asegurados. 


Figura 52—Servicios de Sistemas Adecuadamente Asegurados: Atributos 


Capacidad del Servicio Tecnologia en la que se apoya 


Proporcionar sistemas Protocolo de transferencia de archivos (FTP).  Reduccion del acceso no autorizado a los datos 
adecuadamente © Métodos de actualizacion de la CMDB ¢ Reduccidn de las amenazas externas e internas 
asegurados y configurados, | © Soluciones de verificacion de firma ¢ Simplificacién del cumplimiento 
en linea con los ¢ Monitorizacién de la integridad de ficheros 
requisitos de seguridad ¢ Moddulos del nucleo 
de la informacién y la  Requisitos de seguridad de la informacion y 
arquitectura de seguridad. arquitectura de seguridad de la informacion 
Gestion de sistemas 
° Gestion de parches 
¢ Gestion de la virtualizacion 
¢ Gestion de la nube 


Proporcionar seguridad ¢ Plataforma de SO especifica para el dispositivo © Confidencialidad en caso de robo 
de la informacion en los ¢ Consola/sistemas de gestion de la plataforma  Prevencidn de acceso no autorizado a dispositivos especificos 
dispositivos. e Informacion de seguridad mas explicita para dispositivos especificos 


Proveer proteccion fisicaa | © Circuito cerrado de television Proteccion de activos fisicos frente a amenazas externas e 
la informaci6n. © Cerraduras internas 

e Alarmas 

¢ Control de acceso 

¢ Almacenamiento externo 

e Informes de inteligencia 

e Interfaces de respuesta inicial 

 Soluciones de gestion de instalaciones 

e Sistemas de proteccion contra incendios 

¢ Cerraduras con temporizador 

e Soluciones de acceso fisico 





Metas 
La figura 53 describe las metas para los servicios de sistemas adecuadamente asegurados. 


Figura 53—Servicios de Sistemas Adecuadamente Asegurados: Metas 


Capacidad del Servicio Objetivo de Calidad | Mtrica 


Proporcionar sistemas adecuadamente | Mejoras en la configuracion de la seguridad de Numero de incidencias de seguridad de la informacion 
asegurados y configurados, en linea la informacion de sistemas de acuerdo con los descubiertas después de una evaluacion de la seguridad 
con los requisitos de seguridad de requerimientos en la seguridad de la informacién ] de la informacion de un sistema bastionado 

la informacion y la arquitectura de 

seguridad. 


Proporcionar seguridad de la Mejoras en la configuracion de la seguridad de la__| Numero de incidencias de seguridad de la informacion 
informacién en los dispositivos. informacién de los dispositivos de acuerdo con los | descubiertas después de una evaluacidn de la seguridad 
requisitos de seguridad de la informacion de la informacion de un dispositivo asegurado 


Proporcionar seguridad de la Controles fisicos alineados con los requisitos de © Numero de incidentes no descubiertos en la revisin/ 
informacion fisica. seguridad de la informacion evaluacion 
e Numero de incidentes detectados no contemplados en 
los controles existentes 





F.6 Acceso de Usuario y Derechos de Acceso 
de Acuerdo con los Requerimientos del Negocio 


Descripcion de la Capacidad del Servicio 
La figura 54 describe la capacidad del servicio para los servicios de acceso de usuario y derechos de acceso. 


Figura 54—Servicios de Acceso de Usuario y Derechos de Acceso: Descripcion de la Capacidad del Servicio 


Proporcionar servicios de Proporcionar un conjunto de capacidades para la realizacion de la identificacion de usuario o entidad utilizando un conjunto de 


autenticaci6n. factores segun lo determinado por la politica de seguridad de la informacién o los requisitos de control de acceso. 


Proporcionar servicios Proporcionar un conjunto de capacidades para crear, entregar y administrar las tecnologias de seguridad aplicando 
de aprovisionamiento de tecnologia a un sistema, entidad, aplicacion, servicio o dispositivo determinado. 
seguridad de la informacién. 
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Figura 54—Servicios de Acceso de Usuario y Derechos de Acceso: Descripcion de la Capacidad del Servicio (cont.) 


Evaluar las categorias, clasificacion, nivel de seguridad de la informacion y sensibilidad para una entidad, sistema, 
proceso, procedimiento, aplicacion, servicio o unidad organizativa determinados. 


Evaluar los servicios de 
clasificacion de entidades de 
seguridad de la informacién. 


Proporcionar servicios de 
revocacion. 


Proporcionar autenticacién de 
usuario y permisos en linea 
con los requerimientos del 
negocio. 


Atributos 


Proporcionar un conjunto de capacidades para la anulacion, retirada o terminacion de los derechos o capacidades de 
seguridad de la informacion para un sistema, entidad, aplicacion, servicio, proceso, procedimiento, unidad organizativa 


0 dispositivo determinados. 


Proporcionar un conjunto de capacidades y herramientas de administracion para realizar la identificaci6n de usuario 
mediante un conjunto de factores seguin lo determinado por la politica de seguridad de la informacion 0 requisitos de 
control de acceso tal como se define por los requisitos del negocio. 





La figura 55 describe los atributos de los servicios de acceso de usuarios permisos de acceso. 


Figura 55—Acceso de Usuarios y Permisos de Acceso a los Servicios: Atributos 


Capacidad del Servicio Tecnologia en la que se apoya 


Proporcionar servicios de 
autenticacion. 


Proporcionar servicios 
de aprovisionamiento de 
seguridad de la informacién. 


Proporcionar seguridad de la 
informacién a los servicios de 
clasificacion de entidades. 


Proporcionar servicios de 
revocacion. 


Proporcionar autentificacion 
de usuario y derechos de 
autorizacién de acuerdo con 
los requisitos del negocio. 


© Biométricos 

¢ Certificados 

¢ Llaves Unicas (dongles) 

e Tarjetas inteligentes 
Identificacion embebida en el dispositivo 

 Contrasefias de un solo uso (OTPs), llavero con 
generacidn de cédigos, teléfonos moviles 

e Usuario/contrasena 

e Identidad como Servicio (IDaaS), codigos de barras, 
cédigo universal de producto (UPC) 

e Lista de revocacion de certificados (CRL), federacion de 
identidades 

° Certificados raiz 

¢ Servicios de gestion de claves 

e Servicios de localizacion 

¢ Servicios de reputacion 

e Infraestructura de clave publica (PKI) 


e Aprovisionamiento Open Mobile Alliance (OMA) Device 
Management (DM) 

¢ Médulo de identidad del abonado (SIM), certificados, 
certificados raiz 

e Servicios de cifrado local y remoto 

¢ Servicios de gestion de claves 

e Servicios de distribucion de software 

e Recepcion de datos desde RRHH 


 Diagramas y herramientas de visualizacion 

Herramientas de clasificacion 

e CMDB 

e Arquitectura empresarial 

¢ Normas de clasificacion 

 Soluciones de traspaso a produccidn de versiones 
candidatas (release candidate) 


e SIM, certificados y certificados raiz 
¢ Servicios de cifrado local y remoto 
¢ Servicios de gestion de claves 

° Servicios de localizacion 

¢ Recepcion de datos desde RRHH 
PKI 


e SIM, certificados y certificados raiz 
© Servicios de cifrado local y remoto 
° Servicios de gestion de claves 

e Servicios de localizacion 

PKI 


 Prevencidn de acceso no autorizado a sistemas/datos 

e Aseguramiento de que cada entidad dispone 
Unicamente del nivel de acceso necesario 

e La salvaguarda de informacion confidencial 

¢ Verificacion de la identidad de los usuarios que acceden 
alos sistemas 


Acceso apropiado y en tiempo para los empleados a los 
sistemas necesarios 


Habilita agrupaciones y categorizaciones apropiadas 
de las entidades de seguridad de la informacién para 
clasificar el nivel de riesgo apropiado 


 Prevencidn del acceso a los sistemas por parte de 
usuarios no autorizados después de que se hayan 
revocado sus privilegios (debido a la finalizacion de 
contrato 0 cambio de rol) 

 Reduccion de la probabilidad de un ataque interno 


¢ Verificacion de que los usuarios tienen el nivel apropiado 
de acceso s6lo a los sistemas necesarios 

 Reduccidn de la exposicién de datos sensibles 

¢ Reduccion de la probabilidad de ataque interno 
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Metas 


La figura 56 describe describe las metas para los servicios de acceso de usuario y permisos de acceso. 


Proporcionar servicios de 
autenticacion. 


Proporcionar servicios 
de aprovisionamiento de 
seguridad de la informacion. 


Evaluar los servicios de 
clasificacion de entidades de 
seguridad de la informacion. 


Proporcionar servicios 
de revocacion. 


Proporcionar autenticacién de 
usuario y permisos en linea 
con los requerimientos del 
negocio. 


Figura 56—Servicios de Sistemas Adecuadamente Asegurados: Metas 


Capacidad del Servicio Objetivo de Calidad [| Metric 


Autenticacién precisa, completa y en tiempo de todas las 
entidades y/o servicios 


Aprovisionamiento preciso, completo y en tiempo de todos 
los servicios y elementos de seguridad de la informacion 
para entidades, dispositivos o servicios 


Clasificacién de todas las identidades precisa y completa 


Revocacidn de todas las identidades y/o servicios de 
forma precisa, completa y en tiempo 


Autenticacién precisa, completa y en tiempo junto con 
la autorizacién apropiada para todas las entidades y/o 
servicios 


© Numero de entidades o servicios que no se encuentran 
bajo el servicio de autentificacion 

e Integridad de los factores de autenticacién apoyando los 
requisitos de seguridad de la informacion 


¢ Numero de transacciones de aprovisionamiento 
incompletas 

e Numero de transacciones de aprovisionamiento 
imprecisas 

¢ Retardo medio del aprovisionamiento 

¢ Violacién del maximo retardo en aprovisionamiento 


¢ Numero de imprecisiones en la clasificacion 

¢ Numero de clases no definidas para entidades 
descubiertas 

¢ Numero de cambios requeridos para clasificaciones 
existentes 


¢ Numero de revocaciones fallidas para objetivos 

e Integridad de revocaciones soportando los requisitos de 
seguridad de la informacion 

¢ Retraso en la revocaci6n de entidades y servicios para 
un objetivo determinado 


© Numero de entidades 0 servicios que no se encuentran 
bajo el servicio de autenticacion o autorizacién 

¢ Integridad de los factores de autenticaci6n y 
autorizacién apoyando los requisitos de seguridad de la 
informacion y de negocio 





F.7 Proteccion Adecuada Frente a Software Malicioso (Malware), Ataques 
Externos e Intentos de Intrusion 


Descripcion de la Capacidad de Servicio 
La figura 57 describe la capacidad de servicio para la proteccion frente a software malicioso (malware) y ataques. 


Figura 57—Proteccion Frente a Software Malicioso (Malware) y Ataques: Descripcion de la Capacidad de Servicio 


Planificar, implementar, mantener y mejorar las medidas, contramedidas y actividades, incluyendo, pero no limitado 
a acciones, procesos, dispositivos 0 sistemas, frente a las amenazas y las vulnerabilidades identificadas en las 
evaluaciones de riesgos, politicas de seguridad de la informacion y la estrategia de seguridad de la informacion. Estar 


Proporcionar seguridad 

de la informacion y las 
contramedidas para amenazas 
(internas 0 externas). 


Proporcionar proteccion de 
datos (en servidor, red, nube y 
almacenamiento). 
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al tanto de tecnologias emergentes. 


Proporcionar un conjunto de capacidades y practicas de gestién para implementar la proteccidn, la confidencialidad, 
integridad y disponibilidad de los datos en todos los estados incluyendo, pero no limitado a, en reposo 0 en transito, 
local y exteriormente, a corto y a largo plazo. 
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Atributos 
La figura 58 describe los atributos para la proteccion frente a software malicioso (malware) y ataques. 


Figura 58—Proteccion Frente a Software Malicioso (Malware) y Ataques: Atributos 


Capacidad del Servicio Tecnologia en la que se Apoya 


Proporcionar seguridad | ® Cifrado e Referencias actualizadas para 
de la informacién y las ¢ PKI, inspeccién profunda de paquetes (DPI), sniffers (herramienta para escuchar el remediar las amenazas 
contramedidas para trafico de red) e Prevencion de ataques internos y 
amenazas (internas 0  Cortafuegos externos 
externas). e Analizador de paquetes, sensores 

° Gestion del cumplimiento 

 Requisitos y arquitectura de seguridad de la informacion 

e CMDB 

° Gestion del sistema de parches 

¢ Gestion de la virtualizacion 

© Gestion de la nube 

¢ Cuadros de mando proporcionados por el proveedor y agentes de gestion 

e Actualizaciones proporcionadas por el proveedor 

e Repositorios de software abierto (OSS) 

¢ Avisos de seguridad de la informacion del proveedor, bases de conocimiento, 

honeypots (sistemas trampa), tarpits (envios diferidos de correos y a bajos ratios 
de intensidad) 

e Anti-software malicioso, anti-rootkits, anti-software espia, anti-phishing 

¢ Proteccion del navegador, sandboxing (entornos aislados), inspeccion del contenido 

¢ Servicios de reputacion 


Proporcionar e PKI, sniffers, DPI ¢ Capacidad para que los datos sean 
proteccion de datos (en | © Servicios de cifrado almacenados y transferidos con 
servidor, red, nube y  Prevencidn de pérdida de datos (DLP) seguridad 
almacenamiento).  Soluciones de gestién de sistemas y dispositivos e Confidencialidad, integridad y 

e Soluciones de distribucién de software disponibilidad 

¢ Sistemas de administracién remota 

¢ Soluciones de gestion de virtualizacion y nube 

Gestion documental 

e Sistemas de clasificacién de datos 

¢ Soluciones de gestién de datos centrados en la aplicacion 

e Soluciones de ofuscacién de datos 





Metas 
La figura 59 describe los objetivos para la proteccion frente a software malicioso (malware) y ataques. 


Figura 59—Proteccion Frente a Software Malicioso (Malware) y Ataques: Metas 


Capacidad de Servicio Objetivo de Calidad | Metric 
Proporcionar seguridad de la informacion y las Maxima proteccion contra amenazas Numero de incidentes relacionados con la 
contramedidas para amenazas (internas 0 externas). | conocidas y desconocidas seguridad de la informacion 
Proporcionar proteccion de datos (en servidor, red, Maxima proteccion de datos en todos los Numero de exposiciones de los datos 
nube y almacenamiento). estados 


F.8 Respuesta a Incidentes Adecuada 





Descripcion de la Capacidad de Servicio 
La figura 60 describe la capacidad de servicio para los servicios de respuesta a incidentes. 


Figura 60—Servicios de Respuesta a Incidentes: Descripcién de la Capacidad de Servicio 


Proveer un servicio de Proveer un conjunto de capacidades y practicas de gestion (incluyendo, pero no limitado a, escalados funcionales y 
escalado en la seguridad de la | jerarquicos) para resolver los incidentes relacionados con seguridad de la informacion a tiempo 
informaci6n. 


Proporcionar (andlisis) Proporcionar un conjunto de capacidades que permiten a los forenses actuar en una entidad, sistema, proceso, 

forenses para seguridad de la | procedimiento, aplicacién, servicio, dispositivo 0 unidad organizativa (o agrupacion de los mismos) dados para apoyar 

informaci6n. en las investigaciones, descubrimiento electrénico y recogida de pruebas. Asegurar que se realiza el conjunto de 
capacidades para permitir un tratamiento legal y el mantenimiento de la cadena de custodia tal y como es requerido 
por los procedimientos legales / gubernamentales 
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Atributos 
La figura 61 describe los atributos para los servicios de respuesta a incidentes. 


Figura 61—Servicios de Respuesta a Incidentes: Atributos 


Capacidad de Servicio Tecnologia en la que se Apoya 


Proveer un servicio de ¢ Gestién de vulnerabilidades Resoluci6n en tiempo, de incidentes relacionados con 
escalado en la seguridad de la | « Recomendaciones de seguridad de la informacion de la seguridad de la informacion estableciendo un camino 
informaci6n. los proveedores jerarquico para el escalado 
¢ Recomendaciones de seguridad de la industria de la 
informacion 
© Sistema de escalado jerarquico (basado en la 
organizacidn) 
¢ Politicas de seguridad de la informacion 


Proporcionar (andlisis) ¢ Herramientas de inspeccién de memoria Soporte para la investigacion y descubrimiento de 
forenses para seguridad de la _| ¢ Analizadores de red informacion relacionada con incidentes de seguridad 
informacion. e Analizadores de registros 

¢ Herramientas de inspeccién de aplicaciones y datos 

¢ Herramientas de ingenieria inversa 

¢ Herramientas de andlisis de codigo malicioso (malware) 

¢ Conjunto de herramientas forenses de fabricante y 

fuentes de cddigo abierto (OSS) 

e Trafico de red 

© Modulos de software malicioso y cédigo 

e SIEM 





Metas 
La figura 62 describe las metas para los servicios de respuesta a incidentes. 


Figura 62—Servicios de Respuesta a Incidentes: Metas 


Capacidad de Servicio Objetivo de Calidad | Metric 


Proveer un servicio de escalado en | Procedimientos de escalado en tiempo, precisos, © Numero de escalados imprecisos, no efectivos, 
la seguridad de la informacion. efectivos, eficientes y orientados ineficientes o mal dirigidos 
 Retraso en las comunicaciones de escalado 


Proporcionar (andlisis) forenses para | Analisis y recopilacién de informacion precisa, Resultados de analisis forense imprecisos, incompletos o 
seguridad de la informacion. completa y descubrible inadmisibles 
F.9 Pruebas de Seguridad 


Descripcion de la Capacidad de Servicio 
La figura 63 describe la capacidad de servicio para los servicios de pruebas de seguridad. 





Figura 63—Servicios de Pruebas de Seguridad: Descripcién de la Capacidad de Servicio 


Realizar pruebas de la Proporcionar servicios de prueba y evaluacion de la seguridad de la informacion, incluyendo, pero no limitado a, 

seguridad de la informacién. realizar pruebas para la proteccion de datos y validacion de la integridad, andlisis de regresi6n basado en la seguridad 
de la informacién, pruebas de seguridad y marcos de trabajo, y aseguramiento de la calidad, con el objetivo final de 
mantener la funcionalidad de la seguridad de la informacion tal y como se pretende. 





Atributos 
La figura 64 describe los atributos para los servicios de pruebas de seguridad. 


Figura 64— Servicios de Pruebas de Seguridad: Atributos 


Capacidad de Servicio Tecnologia en la que se Apoya 


Realizar pruebas de la ¢ Herramientas de seguridad de la informacion e Aumento de la concienciacion en seguridad de la 


seguridad de la informacion ¢ Herramientas de desarrollo de software (SDKs) informacion 
© Métodos de arranque alternativo © Conocimiento general de las vulnerabilidades sobre la 
¢ Herramientas de analisis de regresion seguridad de la informacion dentro de la empresa 
¢ Herramientas de prueba de seguridad de la informacién | © Oportunidad para reducir vulnerabilidades en etapas 
© Herramienta de pruebas unitarias y sistemas tempranas 
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Metas 
La figura 65 describe las metas para los servicios de pruebas de seguridad. 


Figura 65—Servicios de Pruebas de Seguridad: Objetivos 


Capacidad de Servicio Objetivo de Calidad | Metric 


Realizar pruebas sobre la Mejoras en la configuraci6n de la seguridad de Numero de incidencias de seguridad de la informacion 
seguridad de la informacion. la informacién del dispositivo de acuerdo con los descubiertas después de una evaluacion de la seguridad 
requerimientos de seguridad de la informacion. de la informacién del dispositivo asegurado. 





F.:10 Servicios de Monitorizacion y Alerta para Eventos relacionados con la 
Seguridad 


Descripcion de la Capacidad de Servicio 
La figura 66 describe la capacidad de servicio para los servicios de monitorizacion y mejora de la seguridad de la 
informacion. 


Figura 66—Servicios de Monitorizacion y Mejora de la Seguridad de la Informacion: Descripcién de la Capacidad de Servicio 


Proporcionar servicios de Proporciona un conjunto de capacidades que permiten, tanto en tiempo real como en diferido, la monitorizacién y los 
monitorizacion de los procesos } cuadros de mando que apoyan los datos necesarios y la correlacion de eventos y su integracion. 

y eventos de seguridad de la 

informacién. 


Proporcionar servicio de alerta | Proporciona un conjunto de capacidades para permitir, tanto en tiempo real y post evento, alertar, informar y 

y notificacion de las practicas, | correlacionar eventos, incidentes, procesos y acciones etiquetadas, asi como el apoyo para el escalado y remediacion 
procesos y eventos de adecuados. 

seguridad de la informacién. 


Proporcionar mediciones y Proporciona un conjunto de capacidades que envian medidas, métricas y andlisis de seguridad de la informacion en 
métricas de seguridad de la los que se miden las practicas y objetivos de seguridad de la informacion en contraste con los criterios de rendimiento 
informacion (indicadores clave | actual y deseado. 

de objetivo (KGls), indicadores 

clave de rendimiento (KPIs), 

etc.). 





Atributos 
La figura 67 describe los atributos para los servicios de monitorizacién y mejora de la seguridad de la informacion. 


Figura 67—Monitorizar y Mejorar los Servicios de la Seguridad de la Informacion: Atributos 


Capacidad de Servicio Tecnologia en la que se Apoya 


Proporcionar servicios de e Logs Monitorizacion en tiempo real de eventos apropiados 
monitorizacion de los procesos | ¢ SNMP 
y eventos de seguridad de la__| ¢ Sistema de Alertas 
informaci6n. © SIEM 
¢ Gestion de cuadros de mando 
¢ Centro de operaciones de red (NOCs) 


Proporcionar servicio de alerta | ¢ Logs Respuesta apropiada para eventos de seguridad de la 
y notificacion de las practicas, | ¢ SNMP informacion 
procesos y eventos de Sistema de Alertas 
seguridad de la informacién. ¢ SIEM 
e Gestion de cuadros de mando 
© Centro de operaciones de red (NOCs) 


Proporcionar mediciones y  Hojas de calculo y métricas estandar ¢ Medida del rendimiento 
métricas de seguridad de la e SIEM e Datos cuantificables 
informacién (KGls, KPls, etc.). | © Gestion de cuadros de mando 

e Cuadros de mando 

e Sistemas de alerta 

© Herramientas de respuesta a incidentes 

¢ Politicas de seguridad de la informacion 
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Metas 
La figura 68 describe las metas para los servicios de monitorizacion y mejora de la seguridad de la informacion. 


Figura 68—Servicios de Monitorizacion y Mejora de la Seguridad de la Informacion: Metas 


Capacidad de Servicio Objetivo de Calidad | Mica 


Proporcionar servicios de Monitorizacion precisa y completa de todos los procesos y | Numero de eventos monitorizados/registrados imprecisos 
monitorizacion de los procesos | eventos relevantes de seguridad de la informacion 0 incompletos 

y eventos de seguridad de la 

informaci6n. 


Proporcionar servicio de alerta | Alerta precisa, completa y en tiempo de todos los eventos | « Numero de alertas de eventos imprecisas o incompletas 
y notificacion de las practicas, | relevantes 0 criticos de seguridad de la informacion e Retraso en la alerta de eventos criticos de seguridad de 
procesos y eventos de la informacion 

seguridad de la informacion. 


Proporcionar mediciones y Medidas precisas y completas de seguridad de la ¢ Calidad e integridad de los indicadores clave de objetivo 
métricas de seguridad de la informacion que se alineen con la estrategia de seguridad (KGls) y los indicadores clave de rendimiento (KPIs) 
informacion (KGls, KPIs, etc.). | de la informacion e Numero de errores de medicion 
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Este apéndice contiene informacion detallada sobre un conjunto de habilidades y 
competencias, basada en la introduccion del catalizador personas, habilidades y competencias de la seccion II: 
* El gobierno de la seguridad de la informacion 

¢ La formulacion de la estrategia de seguridad de la informacion 

¢ La gestion de riesgos de la informacion 

* El desarrollo de la arquitectura de seguridad de la informacion 

* Las operaciones de seguridad de la informacion 

¢ La evaluacion, las pruebas y el cumplimiento de la informacion 


Para cada una de estas habilidades y competencias, se describen los siguientes atributos: 
* La descripcion y definicion de las habilidades 

« La experiencia, formacion y cualificaciones requeridas para la habilidad/competencia 
* El conocimiento, las habilidades técnicas y las habilidades en el comportamiento 

¢ La estructura relacionada (si aplica) 


G.1 Gobierno de la Seguridad de la Informacion 


Descripcion y Definicion de la habilidad 

Esta habilidad establece y mantiene un marco para la seguridad de la informacion y los procesos que lo soportan para 
asegurar que la estrategia de la seguridad de la informacion esta alineada con las metas y objetivos de la organizacion, 
los riesgos de la informacion son gestionados adecuadamente y los recursos del programa son gestionados de manera 
responsable. 


Experiencia, Formacion y Cualificaciones Requeridas para la Habilidad/Competencia 
La figura 69 describe la experiencia y cualificaciones para el gobierno de la seguridad de la informacion. 


Figura 69—Gobierno de la Seguridad de la Informacion: Experiencia, Educacion y Cualificaciones 


Requerimiento Descripcion 


Experiencia Varios afios de experiencia en seguridad de la informacién y gestion de T/negocio (recomendado) incluyendo experiencia en: 
 Creacién, implementacion y medida de politicas de seguridad de la informacion 
¢ Cumplimiento de seguridad de la informacion con regulaciones externas 


 Alineamiento de la estrategia de la seguridad de la informaci6n con el gobierno corporativo 

 Creacién de politicas de la seguridad de la informacién alineadas con las necesidades del negocio e ideando 
métodos para medir la efectividad de las politicas 

© Comunicacion con la direccién ejecutiva 


Cualificaciones CISM 


Conocimiento, Habilidades Técnicas y Habilidades en el Comportamiento 
La figura 70 describe el conocimiento, las habilidades técnicas y las habilidades en el comportamiento para el gobierno de 
la seguridad de la informacion. 





Figura 70—Gobierno de la Seguridad de la Informacion: Conocimiento, Habilidades Técnicas y Habilidades en el 
Comportamiento 


Requerimiento Descripcion 


Conocimiento Habilidad para: 

¢ Definir métricas que apliquen al gobierno de la seguridad de la informacién 

Crear un modelo de medicién del rendimiento basado en las métricas de gobierno de seguridad de la informacion 
que asegure que se alcanzan los objetivos de la organizacién 

¢ Desarrollar un caso de negocio que justifique las inversiones en seguridad de la informacion 

Conocimiento de: 

 Requisitos legales y regulatorios que afecten a la seguridad de la informacién 

¢ Roles y responsabilidades necesarios para la seguridad de la informacion en la empresa 

¢ Métodos para implementar las politicas de gobierno de la seguridad de la informacion 

© Conceptos fundamentales de gobierno y como se relacionan con la seguridad de la informacion 

© Normas reconocidas internacionalmente, marcos y buenas practicas relacionadas con el gobierno de la seguridad de 
la informacion y el desarrollo de la estrategia 
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Figura 70—Gobierno de la Seguridad de la Informacion: Conocimiento, Habilidades Técnicas y Habilidades en el 
Comportamiento (cont.) 


Habilidades técnicas Buen conocimiento de las practicas de seguridad de la informacion que se aplican al negocio especifico 
Habilidades en el ¢ Lider contrastado con excelentes habilidades de comunicacion 
comportamiento  Orientaci6n a los procesos 


G.2 Formulacion de la Estrategia de Seguridad de la Informacion 





Descripcion y Definicion de la habilidad 
Esta habilidad define e implementa la visiOn, misién y objetivos de la seguridad de la informacion alineados con la 
estrategia y cultura corporativa. 


Experiencia, Formacion y Cualificaciones Requeridas para la Habilidad/Competencia 
La figura 71 describe la experiencia, formacion y cualificaciones para la formulacion de la estrategia de seguridad de la 
informacion. 


Figura 71—Formulacion de la Estrategia de Seguridad de la Informacion: Experiencia, Formacion y Cualificaciones 


Experiencia Varios afos de experiencia en seguridad de la informacidn y gestion de Tl/negocio (recomendado) incluyendo: 
 Experiencia en estrategia y gobierno de la seguridad de la informacion 
 Experiencia en creacidn e implementacién de estrategias y principios, practicas y actividades de seguridad de la 
informacion 
¢ Un amplio conocimiento de las funciones de la seguridad de la informacion y como se relacionan con el negocio 


Cualificaciones CISM 


Conocimiento, Habilidades Técnicas y Habilidades en el Comportamiento 
La figura 72 describe el conocimiento, las habilidades técnicas y las habilidades en el comportamiento para la 
formulacion de la estrategia de seguridad de la informacion. 





Figura 72—Formulacion de la Estrategia de Seguridad de la Informacion: Conocimiento, Habilidades Técnicas 
y Habilidades en el Comportamiento 


Conocimiento Habilidad para: 
e Entender la cultura y los valores de la empresa 
¢ Definir una estrategia de seguridad de la informacién que esté alineada con la estrategia de la empresa 
e Desarrollar politicas de seguridad de la informacién e idear métricas que midan la efectividad de las politicas 


Conocimiento de: 

 Tendencias, servicios y disciplinas de seguridad de la informacion 

 Requisitos legales y regulatorios que afecten a la seguridad de la informacion 

 Estandares reconocidos internacionalmente, marcos y buenas practicas relacionados con el desarrollo de una 
estrategia de seguridad de la informacion 


Habilidades técnicas Amplio conocimiento de gestion de las identidades de acceso, gestidn de las amenazas y vulnerabilidades, arquitectura 
de seguridad de la informacion y proteccién de datos 


Behavioural skills ¢ Lider contrastado con excelentes habilidades de comunicacién y la capacidad para interactuar con todos los niveles 
de la empresa 
 Orientacion a negocio 
¢ Pensamiento estratégico de alto nivel 
¢ Entendimiento del entorno 





Roles/Estructuras relacionados 
La figura 73 describe los roles/estructuras para la formulacion de la estrategia de seguridad de la informacion. 


Figura 73—Formulacion de la Estrategia de Seguridad de la Informacion: Roles/ Estructuras relacionados 
Roles/Estructuras relacionados 


CISO 
ISSC 
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G.3 Gestion de Riesgos de Seguridad de la Informacion 


Definicion y Descripcion de la habilidad 
Esta habilidad asegura que los riesgos de informacion se gestionan para cumplir con las directivas de ERM. 


Experiencia, Formacion y Cualificaciones Requeridas para la Habilidad/Competencia 
La figura 74 describe la experiencia, formacion y cualificaciones para la gestion de los riesgos de informacion. 


Figura 74—Gestion de Riesgos de Informacion: Experiencia, Formacion y Cualificaciones 


Requerimiento Descripcion 


Experiencia Varios afos de experiencia en seguridad de la informacion y gestidn de negocio/TI (recomendado) incluyendo 
experiencia en: 


e Evaluar el riesgo relativo a las practicas de seguridad de la informacion 
 Mitigar el riesgo basado en las necesidades de negocio de la empresa 
¢ Gestion del riesgo, perfiles de riesgo y evaluacién de amenazas 


Cualificaciones CRISC 


Conocimiento, Habilidades Técnicas y Habilidades de Comportamiento 
La figura 75 describe el conocimiento, las habilidades técnicas y las habilidades de comportamiento para la gestion de los 
riesgos de informacion. 





Figura 75—Gestion de Riesgos de Informacion: Conocimiento, Habilidades Técnicas y Habilidades de Comportamiento 


Requerimiento Descripcion 


Conocimiento Conocimiento de: 
© Métodos para establecer un modelo de clasificacion de activos de informaci6n consistente con los objetivos de 
negocio 
¢ Metodologias de andlisis y evaluacion de riesgos 
e Procesos y funciones esenciales de negocio 
 Estandares de la industria de seguridad de la informacion (p.ej., NIST, PCI) 
e Leyes y regulaciones relacionadas con la seguridad de la informacidn (p.ej. legislacin de privacidad local y regional) 
© Marcos y modelos de riesgos, cuantificacion de riesgos, registro de riesgos e informes de riesgos 


Habilidades técnicas © Comprension de las practicas y actividades de seguridad de la informacidn y del riesgo asociado a ellas 
e Analisis de riesgos y controles de mitigacién 


Habilidades de e Pensamiento abstracto 
comportamiento e Experiencia en resolver problemas 
¢ Orientacion a procesos 





G.4 Desarrollo de la Arquitectura de Seguridad de la Informacion 


Definicion y Descripcion de la habilidad 
Esta habilidad supervisa el disefio e implementacion de la arquitectura de seguridad de la informacion. 


Experiencia, Formacion y Cualificaciones Requeridas para la Habilidad/Competencia 
La figura 76 describe la experiencia, formacion y cualificaciones para el desarrollo de la arquitectura de seguridad de la 
informacion. 


Figura 76—Desarrollo de la Arquitectura de Seguridad de la Informacion: Experiencia, Formacion y Cualificaciones 


Requerimiento Descripcion 


Experiencia Varios afos de experiencia en seguridad de la informacion (recomendado) incluyendo: 
¢ Experiencia trabajando con sistemas hardware y software, incluyendo sistemas operativos, bases de datos, 
aplicaciones y redes 
¢ Comprension técnica de como varios sistemas se interconectan unos con otros 


Cualificaciones ¢ Buen entendimiento de protocolos de red, bases de datos, aplicaciones y sistemas operativos y como son aplicables 
a los procesos de negocio 
 CRISC, CISSP 
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Conocimiento, Habilidades Técnicas y Habilidades de Comportamiento 
La figura 77 describe el conocimiento, las habilidades técnicas y las habilidades de comportamiento para el desarrollo de 
la arquitectura de seguridad de la informacion. 


Figura 77—Desarrollo de la Arquitectura de Seguridad de la Informacién: Conocimiento, Habilidades Técnicas 
y Habilidades de Comportamiento 


Requerimiento Descripcion 


Conocimiento Conocimiento de: 
© Como todas las tecnologias de la empresa interactuan con el negocio y con las politicas de seguridad de la informacion 
 Arquitecturas de seguridad de la informacion (p. ej. Sherwood Applied Business Security Architecture [SABSA], The 
Open Group Architecture Framework [TOGAF] y procedimientos que les aplican 
¢ Revision del disefio de aplicacién y modelado de amenazas 
© Métodos para disefiar practicas de seguridad de la informacion 


 Gestién de programas informaticos, politicas, procedimientos y estandares de seguridad de la informacion en 
relaciOn a las actividades del negocio 

e Estandares/buenas practicas de la industria de seguridad de la informacion (p. ej. serie ISO/IEC 27000, ISF, NIST, PCI) 

Leyes y regulaciones referentes a seguridad de la informacion 

 Tecnologias emergentes de seguridad de la informacién y desarrollo de metodologias 


Habilidades técnicas ¢ Conocimiento profundo y global de TI y tendencias emergentes 
© Capacidades de disefo técnico 
e Amplia experiencia en operacién de equipos informaticos 


Habilidades de ¢ Pensamiento abstracto 
comportamiento  Experiencia en resolver problemas 


Rol/Estructura Relacionada 
La figura 78 describe el rol/estructura relacionada para el desarrollo de la arquitectura de seguridad de la informacion. 





Figura 78—Desarrollo de la Arquitectura de Seguridad de la Informacion: Rol/Estructura relacionada 
Rol/Estructura relacionada 
ISM 





Arquitecto de seguridad de la informacion 


G.5 Operaciones de Seguridad de la Informacion 


Definicion y Descripcion de Habilidades 

Esta habilidad gestiona el programa de seguridad de la informacion en linea con la estrategia de seguridad de la 

informacion. Incluye: 

¢ Planificar, establecer y gestionar la capacidad de detectar, investigar, responder y recuperarse de incidentes de 
seguridad de la informacion para minimizar el impacto en el negocio 

¢ Realizar las tareas de aprovisionamiento de usuarios para los sistemas empresariales y entornos de aplicaciones 

« Apoyar en la definicion de roles y modelos de acceso para las plataformas y entornos y aplicaciones 

¢ Supervisar y mantener las plataformas tecnoldgicas y soluciones de gestidn de accesos que soportan las capacidades 
de gestion de accesos 

* Gestionar la seguridad de la informacion en redes y conectividades 

* Gestionar la seguridad de la informacion de los equipos finales 

* Proteger frente al software malicioso 

¢ Tratar los incidentes de seguridad y gestion de eventos 


Experiencia, Formacion y Cualificaciones Requeridas para la Habilidad/Competencia 
La figura 79 describe la experiencia, formacion y cualificaciones para las operaciones de seguridad de la informacion. 


Figura 79—Operaciones de Seguridad de la Informacion: Experiencia, formacion y cualificaciones 


Experiencia Experiencia en seguridad de la informaci6n/TI (recomendado) incluyendo: 
© Conocimientos muy consolidados de seguridad de la informacion 
¢ Conocimientos solidos de todas las funciones de seguridad de la informacién de una empresa y comprensiOn de 
como se alinean con los objetivos de negocio 


Cualificaciones  Experiencia en implementar directivas del programa de seguridad de la informacion para proteger los activos de la 
empresa, minimizando el riesgo corporativo, las obligaciones y las pérdidas 
e CRISC, CISSP 
° Certificaciones especificas de proveedores y de tecnologias 
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Conocimiento, Habilidades Técnicas y Habilidades de Comportamiento 
La figura 80 describe el conocimiento, las habilidades técnicas y las habilidades de comportamiento para las operaciones 
de seguridad de la informacion. 


Figura 80—Operaciones de Seguridad de la Informacion: Conocimiento, Habilidades Técnicas y Habilidades de Comportamiento 


Requerimiento Descripcion 


Conocimiento Conocimiento de: 
 Gestién de programas informaticos, politicas, procedimientos y estandares de seguridad de la informacion en 
relacion a las actividades del negocio 
© Monitorizacion, consolidacidn y andlisis de de registros de log 


Habilidades técnicas ¢ Amplia experiencia en operaciones informaticas 
© Conocimientos sdlidos de sistemas operativos Windows/UNIX, métodos de autenticacién, cortafuegos, enrutadores 
(router), servicios web, etc. 


Habilidades de ¢ Habilidad para la gestion de proyectos y personal 
comportamiento ¢ Mentalidad analitica y detallada 
e Solidas habilidades de comunicaci6on y mediacion 
¢ Sdlidas técnicas de gestidn del tiempo 





Rol/Estructura relacionada 
La figura 81 describe el rol/estructura relacionada para las operaciones de seguridad de la informacion. 


Figura 81— Operaciones de Seguridad de la Informacion: Rol/Estructura relacionada 
Rol/Estructura relacionada 
ISM 
Administrador de seguridad de la informacion 





G.6 Evaluacion, Pruebas y Cumplimiento de la Informacion 


Definicion y Descripcion de la habilidad 
Esta habilidad asegura que el procesamiento y manejo de la informacion sea conforme a las leyes, regulaciones, directivas 
y estandares internas y externas. 


Experiencia, Formacion y Cualificaciones Requeridas para la Habilidad/Competencia 
La figura 82 describe la experiencia, formacion y cualificaciones para la evaluacion, pruebas y cumplimiento de la informacion. 


Figura 82—Evaluacion, Pruebas y Cumplimiento de la Informacion: Experiencia, Formacion y Cualificaciones 


Requerimiento Descripcion 


Experiencia Varios afos de experiencia en seguridad de la informacion y auditoria/cumplimiento (recomendado) incluyendo 
experiencia en: 
e Auditar, conforme a las leyes y regulaciones que la empresa debe de cumplir 
e Asegurar que las practicas documentadas de seguridad de la informacidn son efectivas y se estan cumpliendo 


Certificacién en auditoria de seguridad de la informacidn y actividades de cumplimiento (CISA) 





Conocimiento, Habilidades Técnicas y Habilidades de Comportamiento 
La figura 83 describe el conocimiento, las habilidades técnicas y las habilidades de comportamiento para la evaluacion, 
pruebas y cumplimiento de la informacion. 


Figura 83—Evaluacion, Pruebas y Cumplimiento de la Informacién: Conocimiento, Habilidades Técnicas 
y Habilidades de Comportamiento 


Requerimiento Descripcion 


Conocimiento Conocimiento de: 
 Estandares de auditorias, guias y buenas practicas de seguridad de la informacion que aseguren que los sistemas de 
negocio estan protegidos y gestionados 


¢ Técnicas de gestion de proyectos de auditoria y planificacién de auditorias 
 Estandares de la industria de seguridad de la informacion (p.ej.,series ISO/IEC 27000, ISF, NIST, PCI) 
e Leyes y legislaciones locales referentes a seguridad de la informacion (p.ej., US Gramm-Leach-Billey Act [GLBA] 


Habilidades técnicas Herramientas propias de auditoria, amplio conocimiento TI, andlisis de discrepancias 


Habilidades de ¢ Altos valores éticos 
comportamiento ° Orientacion a procesos 
¢ Excelentes capacidades de negociacién 
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APENDICE H 
MaPeos DETALLADOS 


Este apéndice proporciona un mapeo a alto nivel entre varios estandares y marcos de referencia en el area de seguridad 
de la informacion y COBIT 5 para Seguridad de la informacion, enfocandose en el catalizador procesos (figura 84). 
Basandose en los requerimientos de los profesionales de seguridad de la informacion y el entorno operativo especifico 
propio de la empresa, la empresa puede decidir si una fuente que contiene un determinado conjunto de guias particulares 
es relevante, y si la guia se aplica o pueden existir desfases. 


Los siguientes estandares se incluyen en la comparacion en este apéndice: 

* Series ISO/IEC 27000 — La serie ISO/IEC 27000 proporciona un modelo para establecer, implementar, operar, 
supervisar, revisar, mantener y mejorar un SGSI. Los siguientes dominios y areas de COBIT 5 para Seguridad de la 
informacion se cubren en la serie ISO/IEC 27000, incluyendo los objetivos de control y controles del Anexo A de la 
ISO/IEC 27001: 

— Procesos de seguridad y relativos a riesgos de los dominios EDM, APO y DSS 
— Varias actividades referentes a seguridad dentro de procesos en otros dominios 
— Actividades de supervision y evaluacion del dominio MEA 

¢ ISF 2011 Standard of Good Practice for Information Security se basa en el Modelo de Seguridad de la Informacion de 
ISF y consiste en un esquema general de buenas practicas de negocio que se agrupan por areas y se dividen en cuatro 
categorias principales: gobierno de seguridad de la informacion, requerimientos de seguridad de la informacion, 
marco de control y supervision y mejora de la seguridad de la informacion. 

* Guide for Assessing the Information Security Controls in Federal Information Systems and Organisations, NIST— 
El propésito de esta guia es proporcionar una orientacion con respecto a los controles de seguridad de una agencia 
ejecutiva del gobierno de los EEUU. Este ejercicio usa la publicacién especial NIST 800-53A Revision 1. 
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ACRONIMOS 


AGRONIMOS 


Término Definicion 
CCTV Circuito cerrado de television television (Closed-circuit television) 


CIA Confidencialidad, integridad y disponibilidad (Confidentiality, integrity and availability) 


CISA Certificado en Auditoria de los Sistemas de Informacién (Certified Information Systems Auditor 
CISM Certificado en Gestin de los Sistemas de Informacién (Certified Information Security Manager) 


CGEIT Certificado en Gobierno Corporativo de las Tecnologias de la Informaci6n Informacion (Certified in the Governance of Enterprise IT) 


(Certifi i ) 
ion) 
) 


[pud [oa de gestin de poecs oct managenentofc SSCS” 


CRL 
DLP 
ERM 
FTP 
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(GLOSARIO 


Término Definicion 
Actividad En COBIT, la accion principal tomada para operar el proceso. Directrices para alcanzar practicas de gestion para un 
gobierno y gestion de TI exitoso en la empresa. Actividades: 
Describe un conjunto de tareas orientadas a la accion necesarios y suficientes para alcanzar una Practica de 
Gobierno o una Practica de Gestion. 
¢ Considerar las entradas y salidas del proceso. 
Se basan en estandares y buenas practicas aceptados de forma generalizada. 
e Apoyan el establecimiento de roles y responsabilidades claros. 
e No son prescriptivas y deben adaptarse y desarrollarse en procedimientos apropiados para la empresa. 


Alineamiento Un estado en el que los elementos facilitadores del gobierno y la gestidn de TI de la empresa contribuyen a las metas y 
las estrategias de la misma. 


Autenticacién EI acto de verificar la identidad de un usuario y sus derechos de acceso a informacion en los sistemas. 


Nota del alcance: Seguridad: La autenticacion esta disefiada para proteger frente a una actividad de inicio de sesion 
fraudulenta. Se puede referir también a la verificacion de lo correcto de una pieza de informacion. 


Buena practica Actividad 0 proceso probado que ha sido usado con éxito por multiples empresas y ha demostrado que produce 


resultados fiables. 


Calidad Ser adecuado al propésito (alcanzar el valor esperado). 


Certificacién (general) Una evaluacién independiente declarando que un producto, persona, proceso o sistema de gestién cumplen unos 
requerimientos especificos. 


Comité de Arquitectura Un grupo de partes interesadas y expertos que son responsables de guiar a la empresa en aspectos y decisiones 
relacionados con la arquitectura de empresa y de establecer las politicas y normas de arquitectura. 
Competencia La habilidad de realizar una tarea, accin o funcién especificas con éxito. 


Confidencialidad Preservar las restricciones autorizadas en el acceso y la revelacién, incluyendo los medios para proteger la privacidad 
y la informacion propietaria. 


Contexto El conjunto completo de factores internos y externos que pueden influir o determinar como actia una empresa, 
entidad, proceso o individuo. 


Nota de alcance: El contexto incluye: 

© Contexto tecnoldgico—Factores tecnoldgicos que afectan la capacidad de una organizacion para extraer valor de 
los datos. 

¢Contexto de datos—La precision de los datos, su disponibilidad, grado de actualizacion y calidad. 

¢Habilidades y conocimiento—Experiencia general y habilidades analiticas, tecnicas y de negocio. 

¢Contexto organizativo y cultural—Factores politicos, y si la organizacién prefiere datos a la intuicion. 

¢Contexto estratégico—Metas corporativas estratégicas. 


Continuidad de negocio Evitar, mitigar y recuperarse de una interrupcién. Se puede usar en este contexto también los términos “planificacién 
de la restauracion del negocio”, “planificacién para recuperacion de desastres” y “planificacion de las contingencias”; 
se enfocan en los aspectos de la recuperacion dentro de la continuidad y, por esa razon, el factor “resiliencia” también 
deberia ser considerado. 


Control Los medios para gestionar el riesgo, incluyendo politicas, procedimientos, directrices, practicas o estructuras 
organizativas, que pueden tener una naturaleza administrativa, técnica, de gestion, o legal. También usada como 
sinonimo de salvaguarda o contramedida. 


Control de procesos de negocio | Las politicas, procedimientos, practicas y estructuras organizativas disehadas para generar garantias de que un 
proceso de negocio conseguira sus objetivos. 


Creacion de valor EI objetivo principal del gobierno de una empresa, conseguido cuando los tres objetivos subyacentes (consecucién de 
beneficios, optimizacién de riesgo y optimizacién de recursos) estan en equilibrio. 


Cultura Un patron de comportamientos, creencias, hipotesis, actitudes y formas de hacer las cosas. 
Disponibilidad Asegurar un acceso y un uso a tiempo y fiable de la informacion. 


Dispositivo de claves Dispositivo de acceso seguro a la informacion con autenticacion incorporada que se utiliza para controlar y asegurar el 
acceso. 


Entradas y salidas Los elementos/productos del trabajo en un proceso que se consideran necesarios para soportar la operacion de un 
proceso. Son los que posibilitan la toma de decisiones clave, proveen un registro y traza de auditoria de las actividades 
del proceso y posibilitan el seguimiento en caso de un incidente. Se definen al nivel de practica de gestion clave y 
pueden incluir algunos productos de trabajo usados Unicamente dentro del proceso y son, comUnmente, entradas 
esenciales para otros procesos. Las entradas y salidas de COBIT 5 son ilustrativas y no deben considerarse como una 
lista exhaustiva ya que se pueden definir flujos de informacion adicionales dependiendo del entorno particular de una 
empresa y de su marco de procesos 


Estructura organizativa Un catalizador del gobierno y de la gestion. Incluye la empresa y sus estructuras, jerarquias y dependencias. Ejemplo: 
Comité de Seguimiento. 
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Término Definicion 


Facilitador de gobierno Algo (tangible o intangible) que ayuda a la realizacién de un gobierno efectivo. 


Gestion La gestion planifica, construye, ejecuta y supervisa actividades alineadas con la direccidn establecida por el 6rgano de 
gobierno para alcanzar los objetivos de la empresa. 


Gestion de riesgos Uno de los objetivos de gobierno. Requiere reconocer un riesgo; evaluar su impacto y probabilidad; y desarrollar 
estrategias, como, por ejemplo, evitar el riesgo, reduciendo el efecto negativo de riesgo y/o transfiriendo el riesgo, para 
gestionarlo en el contexto del apetito de riesgo de una empresa. 


Gobierno El gobierno asegura que las necesidades, condiciones y opciones de los grupos de interés han sido evaluadas para 
determinar unos objetivos a alcanzar equilibrados y acordados; establecer la direccién mediante la priorizacion y la 
toma de decisiones; y monitorizacién del rendimiento y el cumplimiento de la direccién y objetivos acordados. 


Gobierno de la empresa Un conjunto de responsabilidades y practicas ejercidas por el Consejo de Administraci6n y los gestores ejecutivos con 
el objetivo de dotar de direccion estratégica, asegurando que los objetivos son conseguidos, verificando que el riesgo 
es gestionado de forma apropiada y verificando que los recursos de la empresa son usados de forma responsable. 
También podria referirse a una visidn de gobierno que ve el conjunto de la empresa; la visién mas alta de gobierno con 
la que todas las demas deben alinearse. 


Gobierno de TI empresarial Un enfoque de gobierno que garantiza que las tecnologias de informacion y las relacionadas soportan y habilitan la 
estrategia de la empresa y la consecucién de las metas corporativas. También incluye el gobierno funcional de Tl, por 
ejemplo, garantizando que las capacidades de TI son provistas de forma eficiente y efectiva. 


Habilidad La capacidad aprendida de conseguir ciertos resultados predeterminados. 

Honeypot (sistema cebo) Servidor especialmente configurado, también conocido como servidor sefuelo, disefado para atraer y monitorizar 
intrusos de forma que sus acciones no afecten a los sistemas en producci6n. 

Informacion Un activo que, como cualquier otro activo importante de negocio, es esencial para el negocio de una empresa. Puede 
existir de muchas formas: impreso 0 escrito en papel, almacenado electronicamente, transmitido por correo o de 
forma electronica, mostrado en peliculas o hablado durante una conversacién. 

Instrumento de prueba Entorno o sistema que proporciona la capacidad de realizar pruebas contra una entidad con un conjunto de resultados 
esperados. 

Integridad Proteger contra una modificaci6n o destrucci6n impropia de informacion, e incluye asegurar el no repudio y la 
autenticidad de la informacion. 


Marco de gobierno Un marco es una estructura conceptual basica usada para resolver y responder a temas complejos; un facilitador de 
gobierno; un conjunto de conceptos, hipdtesis y practicas que definen como se puede afrontar o entender algo, las 
relaciones entre las entidades involucradas, los roles de aquellos involucrados y las fronteras (qué esta y qué no esta 
incluido en el sistema de gobierno). 


Ejemplos: COBIT y Committee of Sponsoring Organizations of the Treadway Commission’s (COSO’s) Internal Control— 
Integrated Framework. 


Un modo de describir un conjunto de componentes y de como esos componentes se relacionan entre ellos para 
describir el funcionamiento principal de un objeto, sistema o concepto. 


Objetivo de negocio La traduccion de la misién de la empresa desde una expresién de intenciones a unas metas de rendimiento y 
resultados. 


Oficina de gestion de La funcion responsable de dar apoyo a los gestores de programa y de proyecto, y de reunir, evaluar y reportar 
programas y proyectos (PMO) | informacién sobre el estado de los programas y proyectos constitutivos de los mismos. 


Optimizacion de recursos Uno de los objetivos del gobierno. Incluye un uso efectivo, eficiente y responsable de todos los recursos--humanos, 
financieros, equipamiento, inmuebles, etc. 


Parte consultada (RACI) Se refiere a aquellas personas cuyas opiniones son buscadas en una actividad (comunicacion bidireccional). 


En una matriz RACI responde a la pregunta: gQuién proporciona las entradas? 

Roles claves que proporcionan entradas. Hay que subrayar que los roles responsables de ejecutar la tarea y los que 
son responsables de que se haga también deben obtener la informacion de otras unidades o de socios externos; sin 
embargo, deben considerarse las entradas de los roles listados y, si se requiere, se debe tomar una accién adecuada 
para su escalado, incluyendo la informacion del duefio del proceso y/o del comité de supervision. 


Parte informada (RACI) Se refiere a aquellas personas que son actualizadas con el progreso de una actividad (comunicacién unidireccional). 


En una matriz RACI responde a la pregunta: ,Quién recibe informacion? 

Los roles que son informados de la consecucidn de metas y/o los entregables de la tarea. El rol ‘responsable de que 
se haga’ por supuesto deberia siempre recibir informacion apropiada para supervisar la tarea, al igual que otros roles 
responsables para cada una de sus areas de interés. 


Parte interesada Cualquiera que tiene una responsabilidad, expectativa o cualquier otro interés en la empresa —por ejemplo, 
accionistas, usuarios, el gobierno, proveedores, clientes y el publico en general. 
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Término Definicion 


Parte responsable (RACI) Se refiere a la persona encargada de conseguir que las actividades se completen satisfactoriamente. 


En una matriz RACI responde _} Astatement describing the desired outcome of a process. An outcome can be an artefact, a significant change of a 
a la pregunta: ,Quién esta state or a significant capability improvement of other processes. 
ejecutando la tarea? 
En una matriz RACI responde a la pregunta: gQuién esta ejecutando la tarea? 
Roles que toman la responsabilidad operacional principal en completar la tarea listada y en generar el resultado 
deseado. 


Parte responsable de que se EI individuo, grupo o entidad que tiene la responsabilidad ultima sobre una materia, proceso o alcance. 
haga / (aprobadora) — RACI 
En una matriz RACI responde a la pregunta: 4A quién hay que pedir cuentas por el éxito de la tarea? 


Politica Intencion y direccién global seguin se expresa formalmente por los gestores. 


Practica de gobierno / gestion |} Para cada proceso COBIT, las practicas de gobierno y gestidn proveen un conjunto completo de requerimientos de alto 
nivel para el gobierno y la gestion efectiva y practica de Tl de una empresa. Se trata de declaraciones de acci6n de los 
cuerpos de gobierno y gestion. 


Principio Un catalizador del gobierno y la gestion. Comprende los valores y las hipdtesis fundamentales contenidas en la 
empresa, las creencias que la guian y que definen sus limites entorno a los procesos de decisién, comunicacion 
interna o externa y la administracién--cuidado de los activos que pertenecen a otros. 


Proceso Generalmente, una colecci6n de practicas influenciadas por las politicas y procedimientos de la empresa que toma 
entradas de una serie de fuentes (incluyendo otros procesos), manipula esas entradas y genera salidas (por ejemplo, 
productos, servicios). 


Nota de alcance: Los procesos tienen claras razones de negocio para su existencia, duefios responsables de su 
realizacién, roles claros y adscripcién de responsabilidades alrededor de la ejecucidn del proceso y medios para medir 
su rendimiento 


Propietario Individuo 0 grupo que sustenta o posee los derechos de y las responsabilidades para una empresa, entidad 0 activo, 
por ejemplo, un propietario de negocio, un propietario de un sistema. 


Pruebas de aproximacion Software que realiza una técnica de andlisis de vulnerabilidad, a menudo automatica o semi-automatica, que implica 
proporcionar datos invalidos, inesperados 0 aleatorios a las entradas de un programa o sistema informatico. Las 
vulnerabilidades identificadas esta técnica pueden llevar al compromiso del sistema. 


Realizacion de beneficios Uno de los objetivos del gobierno. La generacidn de nuevos beneficios para la empresa, el mantenimiento y ampliacion 
de las formas existentes de beneficios y la eliminacién de aquellas iniciativas y activos que no estan creando 
suficiente valor. 


Cualquier activo de la empresa que puede ayudar a la organizaci6n a conseguir sus objetivos. 
La combinacién de la probabilidad de un evento y sus consecuencias (ISO/IEC 73). 


Comportamiento prescrito 0 esperado asociado con una posicion o estatus particular en un grupo u organizacion. Un 
trabajo o puesto que tiene un conjunto de expectativas especificas unidas al mismo. 
Ver Entradas y salidas 
Seguridad de la informacion Asegura que dentro de la empresa, la informacién es protegida frente a revelaciones a usuarios no autorizados 
(confidencialidad), modificacién inadecuada (integridad) e imposibilidad de acceso cuando se necesita (disponibilidad). 
Servicio Tl La provision diaria a clientes de la infraestructura y de las aplicaciones Tl y del soporte para su uso. Los ejemplos 
incluyen el centro de servicios, la provisidn de equipamiento y los movimientos, y las autorizaciones de seguridad. 
Vea Servicio T 


Sniffer También conocido como paquete analizador, analizador de red o analizador de protocolo. Software o hardware que 
puede interceptar y registrar el trafico que pasa por una red digital. 


Tarpit Servicio 0 sistema informatico (normalmente un servidor) que retrasa las conexiones entrantes tanto como le es 
posible. Desarrollado como una defensa contra gusanos informaticos, con la idea de que los abusos sobre las redes 
tales como el correo basura 0 los escaneos masivos son menos efectivos si llevan demasiado tiempo. 
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